Фахівці застерегли від ризиків застосування ШІ‑асистента Clawdbot. Він здатен ненароком оприлюднювати персональні дані та API‑ключі.
🚨SlowMist TI Alert🚨
Clawdbot gateway exposure identified: hundreds of API keys and private chat logs are at risk. Multiple unauthenticated instances are publicly accessible, and several code flaws may lead to credential theft and even remote code execution (RCE).
We strongly… https://t.co/j2ERoWPFnh
— SlowMist (@SlowMist_Team) January 27, 2026
«Виявлено уразливість шлюзу Clawdbot: велика кількість API‑ключів і особистих чатів опинилися під загрозою. Деякі неаутентифіковані зразки перебувають у вільному доступі. Вади в коді можуть призвести до викрадення інформації та навіть віддаленого виконання коду (RCE)», — зазначено у звіті SlowMist.
В організації порадили застосовувати жорсткий список IP‑адрес для відкритих портів.
Дослідник з кібербезпеки Джеймісон О’Рейлі зауважив, що «чимало людей зробили свої сервери керування Clawdbot доступними для загального використання».
Clawdbot — відкритий ШІ‑помічник від програміста й підприємця Пітера Штайнбергера. Він функціонує локально на пристрої користувача та здобув шалену популярність минулими вихідними 24–25 січня.
Суть недоліку
Шлюз агента з’єднує великі мовні моделі з платформами для обміну повідомленнями та виконує команди від імені користувача через вебінтерфейс під назвою Clawdbot Control.
Проблема з обходом автентифікації виникає, коли шлюз розміщують за неналежним чином налаштованим зворотним проксі, роз’яснив О’Рейлі.
Дослідник без зусиль знаходив відкриті сервери, використовуючи засоби інтернет‑сканування на зразок Shodan. Він здійснював пошук за специфічними «відбитками» в HTML‑коді.
«Збір даних за запитом Clawdbot Contro потребував лише кілька секунд. Я отримав сотні результатів за допомогою декількох інструментів», — пояснив він.
О’Рейлі отримав доступ до повної інформації для входу: API‑ключі, токени ботів, секрети OAuth, ключі підпису, вся історія листування на різних платформах, можливість надсилати повідомлення від імені користувача та реалізовувати команди.
«Якщо ви використовуєте ШІ‑інфраструктуру агента, перевірте конфігурацію вже сьогодні. З’ясуйте, що саме відкрито для всесвітньої мережі», — порекомендував експерт.
Викрадення приватних ключів
ШІ‑помічника можуть застосовувати у більш зловмисних цілях — для викрадення криптоактивів.
CEO Archestra AI Матвій Кукуй зміг отримати приватний ключ «за п’ять хвилин». Він відправив електронного листа Clawdbot з атакою на основі «ін’єкції промпту» та попросив бота перевірити пошту.
Drama in one screenshot:
1) Sending Clawdbot email with prompt injection
2) Asking Clawdbot to check e-mail
3) Receiving the private key from the hacked machine
… took 5 minutes
That’s why we build non-probabilistic agentic security in Archestra: https://t.co/ukhV6Z7tl1 pic.twitter.com/2d6OP7mNnv— Matvey Kukuy (@Mkukkk) January 27, 2026
Clawdbot вирізняється від інших ШІ‑агентів тим, що має повноцінний системний доступ до комп’ютера користувача. Він може читати та записувати файли, запускати команди, виконувати скрипти та адмініструвати браузери.
Нагадаємо, у січні SlowMist виявили «атаку майбутнього» в магазині Linux.