Pesquisador encontrou mais de 900 instâncias expostas do gateway Clawdbot, permitindo acesso não autenticado a chaves, tokens e históricos de conversas.
Relatos citam que a descoberta foi feita com buscas em motores de indexação como Shodan, observando a interface de controle com o título HTML "Clawdbot Control". Muitas instâncias estavam sem autenticação adequada e com configurações que permitem a leitura de segredos e o controle da instância.
Descoberta e escopo
Jamieson O'Reilly documentou em thread pública a pesquisa que localizou centenas (900+) de gateways expostos na porta 18789. As instâncias variavam: algumas tinham autenticação, outras deixavam arquivos de configuração, chaves da Anthropic, tokens de Telegram/Slack e meses de histórico de conversas totalmente acessíveis.
Vetor e causa raiz
O problema principal é uma lógica de autenticação que aprova automaticamente conexões originadas do localhost — comportamento adequado a ambientes de desenvolvimento, porém perigoso quando combinado com proxies reversos que encaminham requisições usando 127.0.0.1. O parâmetro gateway.trustedProxies vem vazio por padrão, e o sistema pode confiar em cabeçalhos proxy (ex.: X‑Forwarded‑For) sem validação adequada.
Impacto prático
- Exfiltração de credenciais de provedores de modelo e integrações (chaves Anthropic, tokens de canais e bots);
- Acesso a meses de conversas e anexos, com possível exposição de dados sensíveis e segredos corporativos;
- Capacidade de executar comandos via agentes, enviar mensagens em nome do usuário ou emparelhar dispositivos (Signal) conforme registros;
- Algumas instâncias rodavam como root em containers, ampliando risco de execução arbitrária no host.
Mitigações e recomendações
O pesquisador submeteu um pull request de hardening e a documentação do projeto passou a recomendar ajustes imediatos: definir trustedProxies (por exemplo, ["127.0.0.1"]), evitar confiar cegamente em cabeçalhos de proxy, habilitar autenticação do gateway (gateway.auth.mode: "password") via variável CLAWDBOT_GATEWAY_PASSWORD e rotacionar segredos após exposição.
O que as equipes devem fazer agora
- Auditar imediatamente exposições públicas com varreduras internas e externas (utilizar clawdbot security audit --deep conforme docs);
- Rotacionar chaves de API, tokens e credenciais expostas;
- Reconfigurar proxies reversos para não expor sockets locais sem validação e usar túneis gerenciados (Tailscale Serve/Funnel, Cloudflare Tunnels) em vez de binds diretos expostos;
- Aplicar least‑privilege: evitar execução como root e limitar permissões dos containers.
Fonte: Cyber Security News. A matéria traz evidências de escopo (900+ instâncias) e recomendações públicas do pesquisador, além de link para PR e issues relevantes. Versão mencionada: release 2026.1.14-1 (15 Jan), que antecede alguns relatos; equipes devem checar changelogs e executar clawdbot doctor conforme indicado.