Clawdbot слил ключи и переписки сотен пользователей (я вас предупреждал)

Я вчера вам рассказывал про открытый ИИ-ассистент Clawdbot, который взорвал GitHub. 60 тысяч звёзд за 3 дня, все в восторге, все ставят себе. Но я вас предупредил про безопасность. И тут исследователь Джеймисон О’Рейли просто вбивает пару запросов и находит сотни публично доступных серверов. Без аутентификации. С API-ключами, токенами мессенджеров и полной историей переписок на блюдечке.

Проблема оказалась до смешного банальной: gateway Clawdbot по умолчанию доверяет всем подключениям с localhost. Звучит безопасно? Ага, пока ты не поставишь его за reverse proxy типа nginx или Caddy. Тогда весь проксированный трафик выглядит локальным — и аутентификация просто не включается. Всё, добро пожаловать, берите что хотите.

О’Рейли нашёл эти серверы за секунды, просто поискав характерные HTML-отпечатки. В 2 случаях WebSocket-соединение моментально выдало ключи Anthropic, токены телеграм-ботов, OAuth-данные Slack и месяцы личной переписки. Разработчики уже выкатили патч, который проверяет заголовки и блокирует недоверенные адреса. Но сколько людей уже успели всё слить?

А теперь вишенка на торте. До сих пор работает такая атака. Отправляете письмо с вредоносным промптом, просил Clawdbot проверить почту — и через 5 минут получаете приватный ключ со взломанной машины. Всё честно, всё по инструкции, ассистент просто делал свою работу. Шеф, у нас дыра в безопасности. Ну хоть что-то у нас в безопасности!