Pesquisadores identificaram mais de 900 instâncias do Clawdbot, um assistente de IA de código aberto, expostas publicamente na internet sem autenticação. A falha de configuração permitia o acesso irrestrito a APIs, históricos de mensagens e até execução remota de comandos, colocando em risco dados confidenciais de usuários e tokens de serviços como Slack, Telegram e Anthropic.O Clawdbot integra plataformas como WhatsApp, Discord, Signal e outras, funcionando por meio de uma interface de controle baseada na web.
A exposição ocorreu devido a uma lógica de autenticação que aprovava automaticamente conexões locais, mesmo quando acessadas por meio de proxies mal configurados. Especialistas descobriram que diversas dessas instâncias operavam com permissões elevadas, inclusive como containers root, o que permitia a execução de comandos diretamente no servidor.
Além de expor mensagens privadas, os invasores podiam assumir o controle dos agentes, enviar comandos e até redirecionar o comportamento do assistente. As falhas foram detalhadas em relatório publicado no dia 23 de janeiro, com recomendações urgentes de correção. As orientações incluem configuração adequada de proxies, ativação de autenticação por senha e rotação de credenciais comprometidas. Usuários são incentivados a realizar auditorias imediatas, revisar permissões e reforçar os controles de acesso para impedir novos abusos. A última versão do Clawdbot disponível até o momento não corrige essas falhas automaticamente, exigindo ação manual dos administradores.
