Ризики безпеки Clawdbot (Moltbot): що потрібно знати

Кремнієва долина закохалася в Clawdbot за одну ніч. Персональний AI-асистент, який керує електронною поштою, реєструє на рейси, контролює розумний будинок і виконує термінальні команди. Все через WhatsApp, Telegram чи iMessage. Цілодобовий Джарвіс із безмежною пам’яттю.

Дослідники безпеки побачили дещо інше: пастку для інфостілерів у вашій домашній директорії.

Clawdbot зберігає ваші API-токени, профілі автентифікації та спогади сесій у файлах відкритого тексту. Він працює з тими самими правами, що й ваш обліковий запис користувача. Він читає документи, листи та вебсторінки, щоб вам допомогти. Ті самі можливості роблять його ідеальним вектором атаки.

Творець Пітер Штайнбергер створив інструмент, який справді корисний. Офіційна документація прямо визнає ризики: “Запускати AI-агента з доступом до оболонки на вашій машині… гостренько. Не існує ‘ідеально безпечного’ налаштування.”

Ця стаття розглядає, як ці ризики виглядають на практиці.

Clawdbot — це відкритий, самостійно розгорнутий AI-асистент, створений Пітером Штайнбергером (@steipete), засновником PSPDFKit (тепер Nutrient). На відміну від браузерних AI-інструментів, Clawdbot працює на вашому власному обладнанні та підключається до месенджерів, якими ви вже користуєтесь.

Основні можливості:

• Керує електронною поштою, календарем та плануванням
• Реєструє на рейси та бронює подорожі
• Контролює пристрої розумного будинку
• Виконує термінальні команди
• Переглядає інтернет та читає документи
• Інтегрується з Jira, Confluence та іншими робочими інструментами
• Зберігає постійну пам’ять між сесіями
• Відповідає через WhatsApp, Telegram, Discord, Slack, Signal, iMessage та інші

Архітектура з’єднує чат-платформи з одного боку та AI-моделі (Claude, ChatGPT, DeepSeek або локальні моделі) з іншого. Посередині знаходиться Gateway, який керує інструментами, дозволами та можливостями агента.

Понад 50 контриб’юторів працювали над проєктом. Спільнота в Discord перевищує 8 900 учасників. Mac mini розпродали, бо люди хотіли виділені сервери для Clawdbot.

Ентузіазм зрозумілий. Наслідки для безпеки серйозні.

Clawdbot зберігає конфіденційні дані у вашій локальній файловій системі. Проблема: все це у відкритому тексті.

Критичні розташування файлів:

Дослідники безпеки з InfoStealers задокументували точну поверхню атаки: “ClawdBot зберігає конфіденційні ‘спогади’, профілі користувачів та критичні токени автентифікації у файлах відкритого тексту Markdown та JSON.”

Це не баг. Це архітектура. Clawdbot потребує ці файли для роботи. Питання в тому, чи приймає ваша модель загроз цей компроміс.

Масове шкідливе ПЗ адаптувалось для полювання на дані Clawdbot. Ті самі інфостілери, які збирають паролі браузерів та крипто-гаманці, тепер атакують директорії ~/.clawdbot/.

Задокументовані атаки:

• RedLine Stealer використовує модулі FileGrabber для збору файлів .clawdbot\*.json
• Lumma Stealer використовує евристики, що ідентифікують файли з назвами “secret” або “config”
• Vidar дозволяє динамічне оновлення цілей, що забезпечує швидкий перенос кампаній на ~/clawd/

Оператори шкідливого ПЗ шукають регулярні вирази типу (auth.token|sk-ant-|jira_token) в цих директоріях. Якщо Clawdbot встановлений, ваші токени стають частиною збору.

Атака з використанням програми-вимагача на Change Healthcare у 2024 році призвела до виплати $22 мільйонів після того, як зловмисники скомпрометували єдиний VPN-обліковий запис. Саме такий тип даних Clawdbot зберігає незашифрованим.

Ризик безпеки виходить за межі облікових даних. Файл memory.md Clawdbot містить дещо кориснішою для зловмисників: психологічний профіль користувача.

Дослідники описують це як “крадіжку когнітивного контексту”. Файл пам’яті розкриває, над чим ви працюєте, кому довіряєте, що вас турбує та як ви спілкуєтесь. Зловмисник з цим файлом має не просто ваші паролі. Він має все необхідне для ідеальної соціальної інженерії.

Обліковий запис скидається за хвилини. Психологічне досьє, побудоване за місяці AI-взаємодій? Це назавжди. Подібна інформація робить симуляції фішингу застарілими в порівнянні.

Офіційна документація Clawdbot говорить прямо: “Навіть із надійними системними промптами, prompt injection не вирішена.”

Коли Clawdbot читає вебсторінку, документ або електронний лист, щоб вам допомогти, цей контент може містити ворожі інструкції. AI обробляє контент. Якщо інструкції правильно сформульовані, AI їх виконує. Це той самий клас вразливостей, що впливає на AI-асистенти для програмування у всій індустрії.

Вектори атаки:

• Вебсторінки, завантажені під час дослідницьких завдань
• Вкладення електронної пошти, проаналізовані для підсумків
• Документи, передані через месенджери
• Результати пошуку з вбудованими інструкціями
• Посилання, натиснуті в розмовах

Документація рекомендує використовувати “Anthropic Opus 4.5, тому що він досить добре розпізнає prompt injection.” Ось і все пом’якшення: надія, що модель достатньо розумна, щоб чинити опір. Немає технічного бар’єру, який завадив би шкідливій вебсторінці наказати Clawdbot ексфільтрувати ваші файли.

Документація безпеки Clawdbot описує реальну спробу соціальної інженерії: зловмисники використовували недовіру як зброю, кажучи користувачам “Пітер може вам брехати”, щоб спонукати дослідження файлової системи.

Тактика працює, тому що Clawdbot може досліджувати вашу файлову систему. Коли користувачі просять його перевірити твердження, він читає директорії, вивчає файли та звітує. Зловмисник, який переконує вас розслідувати щось конфіденційне, отримує доступ до цієї інформації через ваші власні запити.

Ще один задокументований інцидент: користувач попросив Clawdbot виконати find ~ (перелічити всі файли в домашній директорії). Бот підкорився, вивантаживши всю структуру директорії в груповий чат. Назви проєктів, конфігураційні файли та системні деталі були відкриті всім учасникам розмови.

Команда не була зловмисною. Користувач її запросив. Але в груповому контексті навіть легітимні запити можуть витікати конфіденційну структурну інформацію.

Clawdbot працює з правами вашого користувача. Якщо ви можете прочитати файл, Clawdbot теж може. Якщо ви можете виконати команду, Clawdbot теж може.

Користувачі Hacker News зауважили наслідки: “Жодної пісочниці директорій тощо. З одного боку, круто, що ця штука може змінювати що завгодно на моїй машині. З іншого боку, це жахливо.”

Що може отримати Clawdbot:

• Вашу повну домашню директорію
• Усі файли, які може прочитати ваш обліковий запис
• Будь-яку команду, яку ви могли б запустити в терміналі
• Профілі браузера та збережені паролі
• SSH-ключі та хмарні облікові дані
• Репозиторії вихідного коду
• Конфігурації корпоративного VPN

Офіційне керівництво визнає: “Clawdbot потребує root-доступ для виконання певних операцій. Це одночасно потужно і небезпечно.”

Опціональна пісочниця існує. Обмеження на рівні інструментів можуть обмежити доступ агента. Але це не стандартні налаштування. Користувачі повинні налаштувати їх свідомо, і багато хто цього не робить.

Gateway Clawdbot може прив’язуватись до різних мережевих інтерфейсів. Документація попереджає про кожен:

“Прив’язки, відмінні від loopback, розширюють поверхню атаки”, зазначає документація. “Використовуйте їх лише з увімкненим gateway.auth та реальним файрволом.”

Gateway транслює свою присутність через mDNS (_clawdbot-gw._tcp). У “повному режимі” це розкриває:

• Шляхи файлової системи (розкриває ім’я користувача та місце встановлення)
• Доступність SSH-порту
• Інформацію про hostname

Зловмисник у тій самій мережі може виявити екземпляри Clawdbot та дізнатися деталі про системи, на яких вони працюють. Рекомендація: використовуйте “мінімальний режим”, щоб пропустити конфіденційні поля. Співробітники, що використовують Clawdbot у корпоративній мережі Wi-Fi, повинні розуміти основи мобільної безпеки та межі довіри мережі.

Функція контролю браузера Clawdbot дає AI реальний доступ до браузера. Документація описує це як “admin API, що вимагає токенну автентифікацію.”

Рекомендації з офіційних документів:

• Використовуйте окремий профіль браузера (не щоденний)
• Уникайте LAN-експозиції; надавайте перевагу Tailscale Serve з HTTPS
• Зберігайте токени в змінних середовища, а не в конфігураційних файлах
• Вважайте, що контроль браузера дорівнює операторському доступу до всього, що доступне цьому профілю

Якщо ваш профіль браузера має збережені паролі, Clawdbot потенційно може до них отримати доступ. Якщо він авторизований на банківських сайтах, ці сесії в межах досяжності. AI не потребує зловмисних намірів. Атака через prompt injection може витягнути ці дані через начебто невинні запити.

Криптовалютна спільнота висловила конкретні побоювання щодо Clawdbot. Колишній експерт з безпеки США Чед Нельсон попередив, що можливості Clawdbot з читання документів “можуть перетворити їх на вектори атаки, що компрометують особисту конфіденційність та безпеку.”

Рекомендовані заходи ізоляції від підприємця Рахула Суда:

• Запускайте Clawdbot в ізольованих середовищах
• Використовуйте новостворені облікові записи
• Застосовуйте тимчасові номери телефонів
• Тримайте окремі менеджери паролів

Для користувачів зі значними криптовалютними активами розрахунок ризику інший. Скомпрометований екземпляр Clawdbot з доступом до seed-фраз гаманців або облікових даних біржі може призвести до негайних, незворотних фінансових втрат.

Окрім безпеки, користувачі повідомляють про серйозні наслідки для витрат. Один коментатор на Hacker News витратив “$300+ за останні 2 дні, виконуючи, як я вважав, досить базові завдання.”

Архітектура виклику інструментів Clawdbot генерує значне використання API. Кожне прочитання документа, кожна завантажена вебсторінка, кожна виконана команда споживає токени. Без ретельного налаштування витрати швидко зростають.

Це важливо для безпеки, бо тиск витрат спонукає користувачів вимикати захисні механізми. Запити на підтвердження вимикають. Пісочницю послаблюють. AI отримує більше автономії, щоб уникнути дорогих зворотних зв’язків. Кожна поступка розширює поверхню атаки.

Документація безпеки Clawdbot незвично чесна щодо ризиків. Ось їхнє рекомендоване зміцнення:

{
  gateway: {
    mode: "local",
    bind: "loopback",
    auth: { mode: "token", token: "long-random-token" }
  },
  channels: {
    whatsapp: {
      dmPolicy: "pairing",
      groups: { "*": { requireMention: true } }
    }
  }
}

Доступ через DM повинен слідувати такій прогресії:

pairing (за замовчуванням) → allowlist → open → disabled

Pairing вимагає від користувачів підтвердження через короткий код. Це запобігає надсиланню команд вашому Clawdbot незнайомцями.

Для середовищ високого ризику повністю обмежте небезпечні інструменти:

• Заблокуйте інструменти write, edit, exec, process та browser
• Використовуйте режими пісочниці “тільки читання”
• Створюйте окремих агентів для особистих та публічних сценаріїв використання

У разі підозри на компрометацію:

1. Негайно зупиніть процес
2. Обмежте прив’язку тільки до loopback
3. Вимкніть ризиковані DM та групи
4. Замініть усі токени (Gateway, контроль браузера, API-ключі)
5. Перегляньте журнали в /tmp/clawdbot/clawdbot-YYYY-MM-DD.log
6. Перевірте транскрипти в ~/.clawdbot/agents/<id>/sessions/

Clawdbot пропонує справжню корисність. Керування поштою, календарем та рутинними завданнями через чат зручно. AI, що пам’ятає контекст між сесіями, потужний. Інтеграція з існуючими месенджерами усуває тертя.

Але модель безпеки вимагає прийняття значних ризиків:

Що ви приймаєте, якщо використовуєте Clawdbot:

• Зберігання облікових даних у відкритому тексті, яке активно атакують інфостілери
• Вразливості prompt injection без повного рішення
• Повний доступ до файлової системи за замовчуванням
• Потенційна мережева експозиція конфіденційних даних
• Доступ до браузера, що може розкрити збережені паролі та сесії
• Постійна пам’ять, що профілює вашу поведінку та занепокоєння

Прийнятні сценарії використання:

• Ізольовані машини без конфіденційних даних
• Виділені пристрої, не підключені до основних облікових записів
• Середовища розробки з тестовими обліковими даними
• Користувачі, які розуміють та активно налаштовують пісочницю

Неприйнятні сценарії використання:

• Машини з доступом до крипто-гаманців
• Системи, підключені до корпоративних мереж
• Пристрої зі збереженими банківськими обліковими даними
• Користувачі, які не налаштовуватимуть обмеження безпеки

Творець та спільнота були прозорими щодо цих компромісів. Документація починається з “не існує ‘ідеально безпечного’ налаштування.” Ця чесність цінується. Відповідальність лежить на користувачах, щоб вирішити, чи виправдовує корисність таку експозицію.

Якщо ви вирішите використовувати Clawdbot, впровадьте такі заходи захисту:

1. Запускайте на ізольованому обладнанні: виділений Mac mini або VM, а не основна машина
2. Використовуйте нові облікові записи: нова пошта, новий номер телефону, нові акаунти в месенджерах
3. Увімкніть пісочницю: налаштуйте обмеження інструментів перед першим використанням
4. Прив’яжіть тільки до loopback: ніколи не відкривайте Gateway для мережі
5. Використовуйте мінімальний режим mDNS: зменшіть витік інформації

• Моніторте ~/.clawdbot/ на предмет несподіваного доступу
• Регулярно замінюйте токени
• Переглядайте транскрипти сесій на предмет підозрілої активності
• Тримайте Clawdbot оновленим для отримання патчів безпеки
• Періодично запускайте clawdbot security audit --deep

• Ніколи не підключайте Clawdbot до облікових записів з фінансовим доступом
• Тримайте крипто-гаманці на повністю окремих системах
• Використовуйте окремий профіль браузера без збережених облікових даних
• Розгляньте конфігурації агента “тільки читання”
• Впровадьте моніторинг на рівні мережі для виявлення шаблонів ексфільтрації

Clawdbot вписується у патерн: AI-асистенти, що обмінюють безпеку на можливості. Чим більше AI може робити, тим більше шкоди він може завдати, коли скомпрометований або маніпульований.

Це не унікально для Clawdbot. Кожен AI-інструмент з доступом до файлів, виконанням команд або мережевими можливостями стикається з подібними викликами. Прозорість Clawdbot щодо ризиків насправді незвична. Більшість інструментів не публікують настільки чесну документацію з безпеки.

Питання, яке повинна задати кожна організація: чи запускають ваші співробітники персональних AI-асистентів у корпоративних мережах? Чи мають ці інструменти доступ до конфіденційних облікових даних? Чи дізналися б ви, якби їх скомпрометували?

Тіньовий AI стає новим тіньовим IT. Зростання продуктивності реальне. Поверхні атаки, яких ви не бачите, теж. І поки ваше навчання з кібербезпеки може охоплювати фішинг та безпеку електронної пошти, AI-асистент на ноутбуці розробника є сліпою зоною, яку більшість програм ще не охопили. Ефективність навчання залежить від того, чи встигає воно за реальною еволюцією загроз.

Навчання співробітників розпізнавати ризики безпеки, пов’язані з AI, є наступним рубежем. Спробуйте безкоштовну вправу Clawdbot Prompt Injection, щоб потренуватись у виявленні атак prompt injection в AI-асистентах. Ознайомтеся з повним каталогом навчання з AI-безпеки для інших вправ, що охоплюють нові загрози AI.

• InfoStealers: ClawdBot - The New Primary Target for Infostealers
• Clawdbot Official Security Documentation
• Phemex: Clawdbot AI Raises Security Concerns in Crypto Community
• Hacker News: Clawdbot Discussion
• Bitget: Clawdbot Security Advisory
• GitHub: clawdbot/clawdbot