Как заставить ИИ выдать все ваши секреты? Просто попросите его об этом вежливо (и по-хакерски)

Представьте помощника, которому вы доверяете почту, календарь и браузер, а он сам открывает сайты, нажимает кнопки и выполняет поручения. Звучит удобно, пока не выясняется, что достаточно одной ошибки в настройке, и этот же помощник начинает раздавать ваши секреты всем желающим. Инженеры Intruder сообщили, что отслеживают развивающуюся ситуацию вокруг Clawdbot, проекта с открытым исходным кодом, который недавно переименовали в Moltbot, и видят признаки активной эксплуатации уязвимостей в реальных установках.

По данным Benjamin Marr, за последнюю неделю пользователи массово поднимают экземпляры помощника в облаке и неверно настраивают доступ. В результате в интернет утекали ключи API, токены аутентификации и даже целые файлы настроек с учетными данными. Отдельная проблема связана с атаками через «внедренные инструкции», когда злоумышленник формулирует сообщение так, чтобы ИИ воспринял его как команду и сам выдал приватную информацию. Intruder утверждает, что подтвердил случаи, когда таким способом у атакующих оказывались ключи API, содержимое почты и внутренняя системная информация.

Еще один вектор, на который обращают внимание исследователи, это «навыки» и дополнения из сообщества. По их наблюдениям, через неофициальные каналы распространяются модифицированные расширения, которые маскируются под полезные функции, а на деле занимаются сбором данных, кражей учетных данных и попытками вовлечь машину в сеть зараженных компьютеров (ботнет). В сочетании с тем, что у платформы нет встроенных «ограничителей» по умолчанию, это превращает удобный инструмент в широкую поверхность атаки.

Intruder называет корневую причину архитектурной: проект делает упор на простоту запуска, а не на безопасность по умолчанию. В публикации прямо перечислены слабые места, которые в обычных продуктах считаются базовыми: нет обязательных требований к сетевой защите, нет проверки корректности работы с ключами, нет изоляции для сторонних дополнений, нет встроенных механизмов, которые бы мешали ИИ выполнять нежелательные действия. В итоге исследователи видят случаи, когда помощник совершает действия «не по замыслу владельца»: публикует посты, выгружает данные наружу, выполняет команды шире, чем предполагалось.

Контекст добавляет и Axios: издание напоминает, что после установки такие «автономные помощники» нередко получают очень широкие права на компьютере, включая чтение и запись файлов, доступ к браузеру, почте и календарю. В материале говорится, что исследователи находили сотни панелей управления Moltbot, которые оказались открытыми или неправильно настроенными в публичном интернете, а это дает шанс постороннему увидеть историю диалогов и ключи доступа, а иногда и перехватить управление, чтобы выполнять команды от имени владельца. Там же приводится оценка Token Security: по их данным, у 22% клиентов уже есть сотрудники, которые используют Moltbot внутри организаций, зачастую без согласования с ИТ-службой.

На фоне ажиотажа вокруг таких помощников Intruder рекомендует тем, кто уже запускал Clawdbot (Moltbot), действовать как при инциденте: отключить привязанные сервисы, срочно сменить ключи и пароли, закрыть доступ к экземпляру снаружи, убрать сторонние дополнения и проверить журналы активности на предмет чужих действий. Исследователи отдельно подчеркивают, что это уже не «теория», и если экземпляр работал с настройками по умолчанию или был доступен из интернета, разумнее исходить из того, что компрометация могла произойти.