Vài ngày trước, Clawdbot là một trong những dự án mã nguồn mở nổi bật nhất trên GitHub, với hơn 80.000 lượt đánh dấu sao. Đây là một sản phẩm kỹ thuật ấn tượng cho phép bạn chạy trợ lý AI cục bộ với quyền truy cập hệ thống đầy đủ thông qua các ứng dụng nhắn tin như WhatsApp, Telegram và Discord.
Ngày nay, nó đã bị buộc phải đổi thương hiệu về mặt pháp lý, bị bọn lừa đảo tiền điện tử tràn lan, bị liên kết với một Token giả mạo từng đạt vốn hóa thị trường 16 triệu đô la trước khi sụp đổ, và bị các nhà nghiên cứu chỉ trích vì phát hiện ra các cổng thanh toán và thông tin đăng nhập bị lộ.
Cuộc tranh chấp bắt đầu sau khi Anthropic gửi cho người sáng lập Peter Steinberger một đơn khiếu nại nhãn hiệu. Công ty trí tuệ nhân tạo này—với các mô hình Claude cung cấp sức mạnh cho nhiều hệ thống Clawdbot—quyết định rằng "Clawd" trông quá giống "Claude". Điều đó cũng hợp lý thôi. Luật nhãn hiệu là luật nhãn hiệu.
Tuy nhiên, điều đó đã gây ra hàng loạt vấn đề và nhanh chóng dẫn đến những hệ quả nghiêm trọng.
Steinberger đã thông báo về việc đổi tên từ Clawdbot—cái tên này dường như là một cách chơi chữ dựa trên hình ảnh con tôm hùm (đừng hỏi tại sao)—thành Moltbot trên X. Cộng đồng dường như khá hài lòng với sự thay đổi này. "Vẫn là linh hồn tôm hùm, chỉ khác lớp vỏ", tài khoản của dự án viết .
Tiếp theo, Steinberger đổi tên tổ chức GitHub và tài khoản X cùng lúc. Nhưng trong khoảng thời gian Short giữa việc bỏ tên cũ và bảo mật tên mới, những kẻ lừa đảo tiền điện tử đã chiếm đoạt cả hai tài khoản.
Các tài khoản bị hack ngay lập tức bắt đầu bơm một Token giả mạo có tên CLAWD trên Solana . Chỉ trong vài giờ, các nhà giao dịch đầu cơ đã đẩy giá trị vốn hóa thị trường của Token này lên hơn 16 triệu đô la.
Một số người mua sớm tuyên bố thu được lợi nhuận khổng lồ. Steinberger phủ nhận mọi liên quan đến Token này. Vốn hóa thị trường sụp đổ và những người mua muộn bị thiệt hại nặng nề.
"Gửi tất cả những người trong giới tiền điện tử: Làm ơn ngừng nhắn tin cho tôi, ngừng quấy rối tôi," Steinberger viết. "Tôi sẽ không bao giờ tạo ra một loại tiền điện tử nào. Bất kỳ dự án nào ghi tên tôi là chủ sở hữu tiền điện tử đều là một trò lừa đảo. Không, tôi sẽ không nhận phí. Các bạn đang tích cực gây hại cho dự án."
Cộng đồng tiền điện tử đã không chấp nhận lời từ chối này một cách dễ dàng. Một số nhà đầu cơ tin rằng sự phủ nhận của Steinberger đã gây ra thua lỗ cho họ và phát động các chiến dịch quấy rối. Ông phải đối mặt với những cáo buộc phản bội, yêu cầu ông " chịu trách nhiệm " và áp lực phối hợp để ủng hộ các dự án mà ông chưa từng nghe đến.
Cuối cùng, Steinberger đã giành lại quyền kiểm soát các tài khoản. Nhưng trong lúc đó, các nhà nghiên cứu bảo mật đã quyết định đây là thời điểm thích hợp để chỉ ra rằng hàng trăm phiên bản Clawdbot đang được phơi bày trên internet công cộng mà không có bất kỳ xác thực nào. Nói cách khác, người dùng sẽ cấp quyền không được giám sát cho trí tuệ nhân tạo, điều này có thể dễ dàng bị kẻ xấu lợi dụng.
Theo báo cáo của Decrypt , nhà phát triển AI Luis Catacora đã chạy quét Shodan và phát hiện ra rằng nhiều vấn đề chủ yếu là do người dùng thiếu kinh nghiệm cấp quá nhiều quyền cho tác nhân này. "Tôi vừa kiểm tra Shodan và thấy có các cổng truy cập bị lộ trên cổng 18789 mà không có xác thực nào cả," anh viết. "Đó là quyền truy cập shell, tự động hóa trình duyệt, khóa API của bạn. Cloudflare Tunnel là miễn phí, không có lý do gì để biện minh cho việc này."
Jamieson O'Reilly, người sáng lập công ty tấn công mô phỏng Dvuln, cũng nhận thấy việc xác định các máy chủ dễ bị tổn thương rất dễ dàng. "Trong số các trường hợp tôi đã kiểm tra thủ công, có tám trường hợp mở mà không cần xác thực nào cả," O'Reilly nói với The Register . Hàng chục trường hợp khác có các biện pháp bảo vệ một phần, không loại bỏ hoàn toàn nguy cơ bị tấn công.
Vấn đề kỹ thuật là gì? Hệ thống xác thực của Clawdbot tự động phê duyệt các kết nối localhost—tức là các kết nối đến máy tính của chính bạn. Khi người dùng chạy phần mềm phía sau máy chủ proxy ngược, điều mà hầu hết mọi người đều làm, tất cả các kết nối dường như đến từ 127.0.0.1 và được tự động xác thực, ngay cả khi chúng có nguồn gốc từ bên ngoài.
Công ty bảo mật blockchain SlowMist đã xác nhận lỗ hổng này và cảnh báo rằng nhiều lỗi trong mã nguồn có thể dẫn đến đánh cắp thông tin đăng nhập và thực thi mã từ xa. Các nhà nghiên cứu đã chứng minh nhiều cuộc tấn công chèn mã độc khác nhau, bao gồm cả một cuộc tấn công qua email đã đánh lừa một hệ thống AI chuyển tiếp tin nhắn riêng tư cho kẻ tấn công. Quá trình này chỉ mất vài phút.
"Đây là điều xảy ra khi sự phát triển nhanh chóng diễn ra trước khi có Kiểm định bảo mật," nhà phát triển FounderOS, Abdulmuiz Adeyemo, viết . "'Xây dựng công khai' có một mặt tối mà không ai nói đến."
Tin tốt cho những người đam mê và phát triển AI là dự án này vẫn chưa chết. Moltbot về cơ bản vẫn là phần mềm tương tự như Clawdbot; mã nguồn ổn định và, bất chấp sự quảng bá rầm rộ, không thực sự thân thiện với người mới bắt đầu. Các trường hợp sử dụng là có thật, nhưng vẫn chưa sẵn sàng để được áp dụng rộng rãi. Và các vấn đề bảo mật vẫn còn tồn tại.
Việc vận hành một tác nhân AI tự động với quyền truy cập shell, kiểm soát trình duyệt và quản lý thông tin xác thực tạo ra các bề mặt tấn công mà các mô hình bảo mật truyền thống không được thiết kế để đối phó. Hiệu quả kinh tế của các hệ thống này—triển khai cục bộ, bộ nhớ bền vững và các tác vụ chủ động—thúc đẩy việc áp dụng nhanh hơn so với khả năng thích ứng của tư thế bảo mật trong ngành.
Và bọn lừa đảo tiền điện tử vẫn đang lẩn trốn , chờ đợi thời cơ hỗn loạn tiếp theo. Chỉ cần một sơ suất, một sai lầm, hay một kẽ hở là đủ. Hóa ra, mười giây là quá đủ.
