Los servidores mal configurados de
ClawdBot (ahora MoltBot)
exponen claves API, chats privados y credenciales, advierten investigadores de
ciberseguridad tras el aumento de popularidad del asistente de IA.
MoltBot es un asistente de IA de código abierto creado por el desarrollador y
empresario Peter Steinberger que se ejecuta localmente en el dispositivo del
usuario. Durante el fin de semana pasado, las conversaciones en línea sobre la
herramienta «alcanzaron un estatus viral».
El bot es un asistente virtual capaz de ejecutar acciones reales en el mundo
real. El asistente se instala localmente y luego puede se lo puede «contactar»
por Telegram, WhatsApp, Slack, Discord o Signal.
Si bien se recomienda instalar en una VM, Docker o equipo dedicado, con
reglas e integraciones propias, las malas configuraciones por parte de
personas sin experiencia, hacen que sea una preocupación de seguridad.
Investigadores de ciberseguridad han dado la voz de alarma, advirtiendo que
podría exponer inadvertidamente datos personales y claves API al público.
Según
Shodan, actualmente
existen cientos de instancias del bot expuestas directamente en Internet. Muchas de ellas permiten el acceso a claves de API de LLM populares,
tokens
de aplicaciones, historial completo de correos, chat, etc. y sin ningún tipo
de autenticación.
El martes, la empresa de seguridad blockchain
SlowMist afirmó
que se había identificado una «exposición de la puerta de enlace» de
Moltbot, lo que ponía
«en riesgo cientos de claves API y registros de chats privados. Hay
múltiples instancias no autenticadas accesibles públicamente, y varios
fallos en el código pueden dar lugar al robo de credenciales e incluso a la
ejecución remota de código», añadió.
El investigador de seguridad
Jamieson O’Reilly detalló
inicialmente los hallazgos el domingo, afirmando que
«cientos de personas han configurado sus servidores de control de Clawdbot
expuestos al público»
en los últimos días.
La puerta de enlace del agente conecta grandes modelos de lenguaje (LLM) a
plataformas de mensajería y ejecuta comandos en nombre de los usuarios
mediante una interfaz de administración web. La vulnerabilidad de omisión de
autenticación en MoltBot se produce cuando su puerta de enlace se coloca
detrás de un proxy inverso no configurado.
Utilizando herramientas de escaneo de Internet como Shodan, el investigador
pudo encontrar fácilmente estos servidores expuestos buscando huellas
distintivas en el HTML.
El investigador afirmó que podía acceder a credenciales completas, como claves
API, tokens de bot, secretos OAuth, claves de firma, historiales completos de
conversaciones en todas las plataformas de chat, la capacidad de enviar
mensajes como usuario y capacidades de ejecución de comandos.
«Si utilizas una infraestructura de agentes, revisa tu configuración hoy
mismo. Comprueba qué está realmente expuesto a Internet. Comprende en qué
estás confiando con esa implementación y qué estás sacrificando», aconsejó O’Reilly.
«El mayordomo es brillante. Solo asegúrate de que se acuerde de cerrar la
puerta con llave.»
El asistente de IA también podría explotarse con fines más maliciosos en
relación con la seguridad de los criptoactivos. Matvey Kukuy, CEO de Archestra
AI, fue un paso más allá en su intento de extraer una clave privada.
Compartió
una captura de pantalla en la que enviaba un correo electrónico a Moltbot con
una inyección de comandos, pidiéndole que revisara el correo electrónico y
recibiera la clave privada de la máquina explotada, y dijo que tardó 5
minutos.
Moltbot es ligeramente diferente de otros bots de IA agenticos porque tiene
acceso completo al sistema de las máquinas de los usuarios, lo que significa
que puede leer y escribir archivos, ejecutar comandos, ejecutar
scripts y controlar navegadores.
«Ejecutar un agente de IA con acceso al shell en tu máquina es…
arriesgado», se lee en las preguntas frecuentes de Moltbot.
«No existe una configuración perfectamente segura».
Las preguntas frecuentes también destacaban el modelo de amenaza, afirmando
que actores maliciosos pueden
«intentar engañar a tu IA para que haga cosas malas, acceder a tus datos
mediante ingeniería social y sondear los detalles de la infraestructura».
Recomendamos encarecidamente aplicar una lista blanca de IP estricta en los
puertos expuestos. DragonJAR ha publicado una
lista de recomendaciones
para publicar el bot con seguridad.
Fuente:
CoinTelegraph