À medida que os agentes de Inteligência Artificial evoluem de ferramentas experimentais para verdadeiros "funcionários digitais" que operam 24 horas por dia, surgem novos desafios de segurança que não podem ser ignorados. Um novo alerta recai agora sobre o ClawdBot, uma gateway de agentes de IA open-source que ganhou imensa popularidade nas últimas semanas, mas que está a deixar as portas abertas para ciberataques devido a configurações incorretas.
Segundo o investigador de segurança Jamieson O’Reilly, foram descobertos centenas de servidores de controlo do ClawdBot publicamente expostos na internet. Estas falhas permitiram, em alguns casos, acesso total a credenciais, conversas privadas e até a execução de comandos na máquina anfitriã. O mais alarmante é que não se trata de uma vulnerabilidade "zero-day" sofisticada, mas sim de um problema muito mais comum e perigoso: erros básicos de configuração no mundo real.
O mordomo digital que deixa a porta destrancada
O ClawdBot é descrito como uma espécie de mordomo digital: um assistente autónomo capaz de gerir mensagens, conectar-se a múltiplas plataformas, armazenar chaves de API e executar ferramentas em nome do seu operador. Para ser útil, este tipo de agente necessita, por design, de um acesso profundo aos sistemas e comunicações. O risco surge quando esse acesso é disponibilizado, sem querer, a toda a internet.
Em vários casos observados, a interface de administração baseada na web do ClawdBot — a Control UI — estava exposta sem a devida autenticação, permitindo que qualquer pessoa que a encontrasse pudesse entrar livremente. A causa raiz parece ser uma armadilha clássica de segurança em reverse-proxies. Embora o ClawdBot inclua mecanismos de autenticação criptográfica sólidos, as ligações locais são aprovadas automaticamente por defeito. Quando o serviço é implementado atrás de proxies comuns como Nginx ou Caddy, todo o tráfego de entrada pode parecer originário de 127.0.0.1 (localhost), levando o sistema a tratar utilizadores remotos como se fossem locais e confiáveis.
Dados críticos e conversas privadas em risco
A análise revelou que os atacantes que obtiveram acesso a estas interfaces expostas poderiam visualizar ficheiros de configuração completos, incluindo chaves de API e segredos OAuth. Mais grave ainda, foi possível ler meses de conversas privadas em plataformas como o Slack, Telegram, Discord, WhatsApp e Signal.
Num exemplo particularmente preocupante, as credenciais de emparelhamento do Signal foram deixadas acessíveis em ficheiros temporários. Isto permitiu contornar eficazmente a encriptação ponta-a-ponta do mensageiro, comprometendo o próprio ponto final da comunicação. Além disso, os atacantes podiam fazer-se passar pelo proprietário do agente, enviando mensagens em seu nome, e executar comandos no sistema subjacente, por vezes com privilégios de "root".
Para quem utiliza o ClawdBot ou infraestruturas semelhantes, recomenda-se uma auditoria imediata aos serviços acessíveis publicamente. É crucial nunca expor interfaces de administração sem autenticação rigorosa e configurar corretamente os proxies para identificar a origem real do tráfego. No caso específico do ClawdBot, os operadores devem configurar parâmetros como gateway.auth.password ou gateway.trustedProxies imediatamente. A conveniência da automação não pode sobrepor-se à segurança, sob pena de transformar um assistente útil numa ferramenta de exposição silenciosa.
Nenhum comentário
Seja o primeiro!