【資安日報】1月28日,竄紅的開源AI平臺Clawdbot出現部分系統配置不當
配置不當導致控制介面暴露
資安研究人員Jamieson O’Reilly近日於社群平臺X發文指出,他在網際網路上發現數百個設置不當的Clawdbot Control管理介面。這些介面若未妥善設置驗證機制,可能讓外人隨意存取機敏資料。
攻擊者可輕易獲取系統權限
由於配置不當,數百個ClawdBot控制伺服器直接暴露在互聯網上,這種疏忽並非源於高深的系統漏洞,卻讓攻擊者能輕易獲取私隱對話與Root權限,甚至可能導致資料毀損。
反向代理配置缺陷風險
資安專家示警,Clawdbot閘道器因反向代理配置缺陷,若配置不當恐致重大安全風險,特別是對加密貨幣錢包與敏感資料的存取可能造成威脅。
AI運作權限過大帶來風險
Clawdbot運作時通常具備存取終端機與檔案系統的權限,這代表AI在處理模糊指令時,若判斷失誤可能直接修改系統設定,導致資料毀損或系統異常。
開源工具爆紅但安全風險並存
開源AI助理Clawdbot不僅能處理日常任務如管理郵件、日曆、檢查航班,甚至能自動化研究、產生發票或監控趨勢,讓用戶感覺像擁有一位「24/7 AI員工」。然而,其高權限設定與配置不當問題,仍帶來重大資安風險。