Компания Ethiack продемонстрировала, как их ИИ-пентестер Hackian полностью автономно нашёл критическую уязвимость в популярном ИИ-помощнике Clawdbot (теперь известен как Moltbot) всего за 1 час 40 минут. Найденная проблема позволяет злоумышленнику получить полный контроль над системой жертвы одним кликом, даже если помощник установлен локально на домашнем компьютере.
Clawdbot: невидимая угроза в вашем мессенджере
Clawdbot, это персональный ИИ-помощник с открытым исходным кодом, который можно установить на своём сервере или компьютере. Его главная фишка: бесшовная интеграция с огромным количеством мессенджеров: Telegram, Discord, WhatsApp и другими.
Суть идеи: у вас есть один ИИ-ассистент, который доступен везде, в телефоне, в браузере, в любом мессенджере. Он может писать код, создавать сайты, выполнять команды прямо на вашем компьютере и отвечать вам в том же Telegram, где бы вы ни находились. Удобно? Да. Опасно? Очень
Но есть одна проблема: у этого агента полный доступ к системе.
После громких обещаний производительности и волны хайпа в соцсетях множество людей бросились устанавливать свои копии Clawdbot. И тут всё покатилось под откос: сотни серверов с открытыми портами, «временные» настройки, которые никто не меняет, панели управления, случайно превратившиеся в публичные.
Это привлекло внимание исследователей из Ethiack. Они задались вопросом: «Может ли искусственный интеллект взломать другую систему на базе ИИ?»
ИИ против ИИ: как Hackian вскрыл защиту Clawdbot за полтора часа
Исследователи развернули тестовую копию Clawdbot и запустили против неё Hackian, их ИИ-пентестера, работающего полностью автономно. Важный момент: никакого участия людей, чистый black-box подход.
Hackian начал, как любой исследователь безопасности: разведка, разведка и ещё раз разведка. Он извлёк исходный код из карт исходников (source maps), которые приложение случайно оставило доступными, и обнаружил:
- Клиент управляет состояниями через WebSocket-соединение
- Приложение выполняет «инструменты» через сокет
- Безопасность полностью опирается на логику на стороне клиента
- Разрешены кросс-доменные WebSocket-подключения
Hackian заметил странное поведение: в приложение можно передавать параметры через URL, в том числе адрес WebSocket-шлюза. И вот тут он нашёл золотую жилу:
Информация
Установка параметра gatewayUrl через GET-запрос автоматически запускает подключение к указанному адресу, перезаписывая прежнее значение. Это классическая атака типа CSRF: простой GET-запрос напрямую нарушает целостность данных панели управления Clawdbot. Более того, токен аутентификации, который хранился в локальном хранилище браузера, мгновенно отправляется на новый адрес gatewayUrl, компрометируя конфиденциальность данных.
Достаточно заставить жертву зайти на вредоносный сайт, и её токен доступа автоматически утечёт злоумышленнику.
Взлом локальных установок
Взломать публично доступный сервер, это одно. Но большинство пользователей устанавливают Clawdbot локально, на своих компьютерах, что сильно снижает поверхность атаки. Или нет?
Оказалось, что нет. Исследователи нашли способ превратить браузер жертвы в своего помощника и пробраться в локальную сеть простым путём.
Вот как работает атака:
- Утечка токена: Злоумышленник создаёт сайт, который перенаправляет жертву на панель управления Clawdbot с подменённым адресом WebSocket-шлюза. Токен автоматически отправляется на сервер атакующего.
- Обход защиты локальной сети: Для обычных HTTP-запросов существует механизм CORS, который запрещает браузерам обращаться к чужим доменам. Но основной API Clawdbot построен не на HTTP, а на WebSocket, для которого аналога CORS не существует. Более того, сервер не проверяет источник WebSocket-подключения.
- Выполнение команд: С украденным токеном злоумышленник может отправлять команды агенту Clawdbot через браузер жертвы, обращаясь к localhost, и получать результаты на свой сервер.
В текущей стабильной версии Google Chrome (v144) флаг Local Network Access по умолчанию отключён, то есть эксплойт не требует никаких дополнительных разрешений.
Итог: один клик и злоумышленник получает полный доступ к локальной установке Clawdbot, а через неё, к вашей системе.
Разработчики Ethiack подчёркивают важный момент: технологии развиваются быстрее, чем когда-либо. С момента выхода первого iPhone прошло меньше 20 лет, а мы уже говорим об имплантах мозг-компьютер и ИИ-системах, построенных на «всём знании человечества».
Эта сверхбыстрая скорость часто используется как оправдание для игнорирования мер безопасности. Но вместо того чтобы жаловаться на новый ритм, нужно создавать инструменты безопасности, способные за ним угнаться.
На этот раз мы нашли уязвимость, сообщили о ней и предотвратили вред для доверчивых пользователей. Но не заблуждайтесь: искусственный интеллект доступен всем, не только хорошим парням. Это не новая история, и определённо не последняя. Но, возможно, используя ИИ для этичного хакинга, мы начнём сокращать разрыв, который растёт с каждым днём.
Если вы используете Clawdbot/Moltbot:
Срочно обновитесь до последней версии, исправление уже доступно. Не открывайте подозрительные ссылки, даже если они выглядят безобидно, одного клика достаточно для компрометации. Полный доступ к системе для ИИ-агента означает полный доступ и для злоумышленника при наличии уязвимости.
