SlowMist พบช่องโหว่ของ Clawdbot Gateway เปิดเผย คีย์ API และบันทึกการสนทนากว่าเป็นร้อยสามารถเข้าถึงได้โดยสาธารณะ นักวิจัยด้านความปลอดภัย Jamieson O’Reilly ค้นหาเซิร์ฟเวอร์ที่เปิดเผยได้ภายในไม่กี่วินาทีผ่าน Shodan ซึ่งสามารถเข้าถึงข้อมูลรับรองฉบับเต็มได้ Archestra AI ซีอีโอทดสอบดึงกุญแจส่วนตัวภายใน 5 นาที ทางการยอมรับว่า “ไม่มีความปลอดภัยสมบูรณ์” แนะนำให้ใช้รายการ IP ขาวอย่างเข้มงวด
SlowMist พบช่องโหว่ของ Clawdbot Gateway เปิดเผยข้อมูลรับรองนับร้อย
นักวิจัยด้านความปลอดภัยเตือนเกี่ยวกับผู้ช่วยส่วนบุคคล AI รุ่นใหม่ชื่อ Clawdbot ซึ่งอาจจะโดยไม่ตั้งใจเปิดเผยข้อมูลส่วนบุคคลและคีย์ API สู่สาธารณะ เมื่อวันอังคาร บริษัทด้านความปลอดภัยบล็อกเชน SlowMist ระบุว่าพบ “ช่องโหว่ของ Gateway ของ Clawdbot” ซึ่งทำให้ “คีย์ API และบันทึกสนทนาส่วนตัวนับร้อยอยู่ในความเสี่ยง” “ตัวอย่างที่ไม่ได้รับการยืนยันตัวตนหลายตัวสามารถเข้าถึงได้โดยสาธารณะ และข้อบกพร่องบางอย่างในโค้ดอาจนำไปสู่การขโมยข้อมูลรับรอง หรือแม้แต่การรันโค้ดระยะไกล” บริษัทเสริม
นักวิจัย Jamieson O’Reilly เริ่มต้นรายงานผลการตรวจสอบเมื่อวันอาทิตย์ที่ผ่านมา โดยระบุว่าในช่วงไม่กี่วันที่ผ่านมา “มีคนหลายร้อยเปิดเผยเซิร์ฟเวอร์ควบคุม Clawdbot ของพวกเขาต่อสาธารณะ” Clawdbot เป็นผู้ช่วย AI โอเพนซอร์สที่พัฒนาโดย Peter Steinberger ซึ่งสามารถรันบนอุปกรณ์ของผู้ใช้ในเครื่องได้ ตามรายงานของ Mashable เมื่อวันอังคาร ช่วงสุดสัปดาห์ที่ผ่านมา การพูดคุยออนไลน์เกี่ยวกับเครื่องมือนี้ “ได้รับความนิยมอย่างรวดเร็ว” การปรากฏตัวพร้อมช่องโหว่ด้านความปลอดภัยทำให้ผู้ใช้มือใหม่จำนวนมากเปิดเผยข้อมูลสำคัญโดยไม่รู้ถึงความเสี่ยง
AI Gateway เชื่อมโมเดลภาษาใหญ่ (LLM) เข้ากับแพลตฟอร์มส่งข้อความ และดำเนินการคำสั่งแทนผู้ใช้ผ่านอินเทอร์เฟซเว็บชื่อ “Clawdbot Control” O’Reilly อธิบายว่าช่องโหว่การข้ามการตรวจสอบตัวตนของ Clawdbot เกิดจาก Gateway ตั้งอยู่หลังพร็อกซีย้อนกลับที่ไม่ได้กำหนดค่าอย่างถูกต้อง การตั้งค่าผิดนี้ทำให้อินเทอร์เฟซการจัดการที่ควรได้รับการป้องกันด้วยรหัสผ่าน กลายเป็นหน้าสาธารณะที่ใครก็เข้าถึงได้
นักวิจัยใช้เครื่องมือสแกนเน็ตเวิร์กเช่น Shodan ค้นหาเซิร์ฟเวอร์ที่เปิดเผย โดยการค้นหาใน HTML ด้วยลายนิ้วมือเฉพาะตัว เขากล่าวว่า “ค้นหา ‘Clawdbot Control’ — ใช้เวลาไม่กี่วินาทีเท่านั้น ผมใช้เครื่องมือหลายตัวค้นหาและได้ผลลัพธ์เป็นร้อย” Shodan เป็นเครื่องมือค้นหาอุปกรณ์เชื่อมต่ออินเทอร์เน็ตที่ใช้กันอย่างแพร่หลายในการค้นหาเซิร์ฟเวอร์ที่ตั้งค่าผิดพลาด เมื่อพบตัวอย่างของ Clawdbot นับร้อยที่ใช้แท็ก HTML และหัวเรื่องหน้าเดียวกัน การค้นหาโดยใช้ลายนิ้วมือเหล่านี้ใน Shodan ก็สามารถพบเซิร์ฟเวอร์ที่เปิดเผยทั้งหมดได้อย่างง่ายดาย
นักวิจัยระบุว่าสามารถเข้าถึงข้อมูลรับรองเต็มรูปแบบ เช่น คีย์ API โทเค็นบอท คีย์ OAuth กุญแจลายเซ็น ประวัติสนทนาทั้งหมดบนแพลตฟอร์มแชท การส่งข้อความในนามผู้ใช้ รวมถึงความสามารถในการรันคำสั่ง การเข้าถึงในระดับนี้มีความอันตรายอย่างยิ่ง คีย์ API สามารถถูกใช้ปลอมตัวเป็นผู้ใช้เพื่อเข้าถึงบริการต่าง ๆ โทเค็นบอทสามารถควบคุมบอท Telegram หรือ WhatsApp ของผู้ใช้ คีย์ OAuth สามารถเข้าถึงบัญชี Google, GitHub ฯลฯ ของผู้ใช้ได้
ทดสอบดึงกุญแจภายใน 5 นาทีด้วย Prompt Injection
ผู้ช่วย AI ก็อาจถูกใช้ในวัตถุประสงค์ที่ชั่วร้ายมากขึ้น เกี่ยวกับความปลอดภัยของสินทรัพย์คริปโต ซีอีโอของ Archestra AI Matvey Kukuy เลยพยายามดึงกุญแจส่วนตัว เขาแชร์ภาพหน้าจอที่แสดงว่าเขาส่งอีเมลที่มี prompt injection ไปยัง Clawdbot เพื่อให้มันตรวจสอบอีเมลและรับกุญแจส่วนตัวจากเครื่องที่ถูกโจมตี และบอกว่า “ใช้เวลา 5 นาที”
การทดสอบนี้มีความน่าตื่นเต้นเป็นอย่างยิ่ง Prompt Injection เป็นเทคนิคการโจมตี AI ที่ฝังคำสั่งอันตรายในอินพุต เพื่อหลอกให้ AI ทำงานผิดพลาด ในกรณีนี้ ผู้โจมตีเพียงส่งอีเมลที่ออกแบบมาเป็นพิเศษไปยังผู้ใช้ Clawdbot เมื่อ Clawdbot ตรวจสอบอีเมลโดยอัตโนมัติ ก็จะรันคำสั่งอันตรายในอีเมลนั้น หากคอมพิวเตอร์ของผู้ใช้เก็บกุญแจคริปโตไว้ในไฟล์ ก็อาจถูกหลอกให้อ่านไฟล์เหล่านั้นและส่งให้แฮกเกอร์
กรอบเวลา 5 นาทีแสดงให้เห็นว่าการโจมตีนี้เป็นไปได้สูง ผู้โจมตีไม่จำเป็นต้องใช้เทคนิคซับซ้อนหรือเตรียมการนาน เพียงแค่ส่งอีเมลที่ออกแบบมาอย่างดี ก็สามารถขโมยกุญแจได้ สำหรับผู้ใช้ที่ถือครองสินทรัพย์คริปโตจำนวนมาก ความเสี่ยงนี้เป็นอันตรายร้ายแรง หากกุญแจถูกขโมย แฮกเกอร์สามารถควบคุมกระเป๋าเงินและโอนทรัพย์สินทั้งหมดได้อย่างสมบูรณ์ การทำธุรกรรมบนบล็อกเชนไม่สามารถย้อนกลับได้ สินทรัพย์ที่ถูกขโมยเกือบจะไม่สามารถกู้คืนได้
กรณีนี้ยังเน้นให้เห็นถึงอันตรายของการให้ AI มีสิทธิ์สูงเกินไป Clawdbot เพื่อให้บรรลุเป้าหมาย “ผู้ช่วยอัตโนมัติเต็มรูปแบบ” จึงขอให้ผู้ใช้ให้สิทธิ์เข้าถึงระบบอย่างกว้างขวาง แต่การออกแบบเช่นนี้เป็นการเสี่ยงด้านความปลอดภัยและความสะดวกสบายในระดับที่รุนแรง ทำให้ผู้ใช้เสี่ยงต่อความเสียหายร้ายแรง เหตุการณ์รั่วไหลของข้อมูล Matcha Meta และช่องโหว่ของ SwapNet ที่ทำให้สูญเสีย 1,680 ล้านดอลลาร์ เป็นบทเรียนจากปัญหาการให้สิทธิ์สูงเกินไปอย่างชัดเจน
สิทธิ์ Root และการยอมรับความเสี่ยง “ไม่มีความปลอดภัยสมบูรณ์”
Clawdbot แตกต่างจาก AI อัจฉริยะอื่นตรงที่มันมีสิทธิ์เข้าถึงระบบของผู้ใช้โดยสมบูรณ์ ซึ่งหมายความว่ามันสามารถอ่านและเขียนไฟล์ รันคำสั่ง ครอสสคริปต์ และควบคุมเบราว์เซอร์ได้ สิทธิ์ระดับ Root นี้เป็นสิ่งที่ละเอียดอ่อนอย่างมากในความปลอดภัยของซอฟต์แวร์ทั่วไป โดยปกติแล้ว จะมีเพียงส่วนประกอบของระบบปฏิบัติการและเครื่องมือบริหารระบบที่ได้รับสิทธิ์ระดับนี้
คำถามที่พบบ่อยของ Clawdbot ระบุว่า “การรัน AI proxy ที่มี shell access บนเครื่องของคุณ… เป็นอันตราย ไม่มีการตั้งค่าที่ ‘ปลอดภัยสมบูรณ์’” การยอมรับความเสี่ยงอย่างตรงไปตรงมานี้ ถึงแม้จะน่าชื่นชม แต่ก็เปิดเผยถึงแก่นแท้ของความเสี่ยงของเครื่องมือนี้ ผู้ใช้จำนวนมากอาจเห็นตัวอย่างการสาธิตที่น่าประทับใจบนแพลตฟอร์ม X แล้วรีบติดตั้งโดยไม่อ่านคำถามคำตอบอย่างละเอียด โดยไม่รู้ว่ากำลังเสี่ยงอะไรอยู่
คำถามที่พบบ่อยยังเน้นถึงโมเดลภัยคุกคาม โดยระบุว่าผู้ไม่หวังดีสามารถ “พยายามหลอกล่อ AI ของคุณให้ทำสิ่งไม่ดี โดยใช้วิธีทางสังคมวิศวกรรมเพื่อขอสิทธิ์เข้าถึงข้อมูล และสำรวจรายละเอียดโครงสร้างพื้นฐาน” สามภัยคุกคามเหล่านี้เป็นความจริงและได้รับการยืนยันแล้ว Prompt Injection สามารถหลอกให้ AI ทำงานอันตราย การหลอกล่อด้วยวิธีทางสังคมเพื่อขอสิทธิ์เข้าถึงข้อมูลสำคัญ และการสำรวจโครงสร้างพื้นฐานเพื่อเตรียมการโจมตีในอนาคต
O’Reilly แนะนำว่า “ถ้าคุณรัน proxy infrastructure อยู่ ให้รีบตรวจสอบการตั้งค่าของคุณ ตรวจสอบว่ามีอะไรบ้างที่เปิดเผยต่ออินเทอร์เน็ต รู้ว่าคุณไว้ใจอะไรในสิ่งที่คุณติดตั้ง และอะไรที่คุณปล่อยไป ผู้ดูแลระบบก็เก่ง ถ้าแค่แน่ใจว่าเขาจำได้ล็อคประตู” คำเปรียบเทียบนี้สรุปแก่นแท้ของปัญหาได้อย่างแม่นยำ: Clawdbot เป็น “ผู้ดูแลดิจิทัล” ที่มีฟังก์ชันมากมาย แต่ถ้าไม่ตั้งค่าความปลอดภัยอย่างเหมาะสม ก็เท่ากับปล่อยให้ผู้ดูแลลืมล็อคประตู บ้านของคุณก็สามารถถูกบุกรุกได้ง่าย
SlowMist แนะนำว่า “เราขอแนะนำอย่างยิ่งให้ใช้กลไกรายการ IP ขาวอย่างเข้มงวดกับพอร์ตที่เปิดเผย” รายการ IP ขาวคือการอนุญาตเฉพาะ IP ที่กำหนดเท่านั้นให้เข้าถึงบริการ ส่วนการเข้าถึงอื่น ๆ จะถูกปฏิเสธ วิธีนี้สามารถป้องกันไม่ให้บุคคลภายนอกเข้าถึงอินเทอร์เฟซการจัดการ Clawdbot ได้อย่างมีประสิทธิภาพ แม้การตั้งค่าช่องทางเข้า Gateway จะผิดพลาด ก็สามารถเพิ่มชั้นป้องกันเพิ่มเติมได้
