Bitcoin Addict - ข่าวสารและบทความคริปโต

เตือนภัย Clawdbot! พบช่องโหว่ร้ายแรงทำข้อมูลแชทและ API Keys รั่วไหลสู่สาธารณะ
27 January 2026ข่าวคริปโตโดย Rawiwarn Owattasanee
#AI

เตือนภัย Clawdbot! พบช่องโหว่ร้ายแรงทำข้อมูลแชทและ API Keys รั่วไหลสู่สาธารณะ

ในขณะที่โลกกำลังตื่นเต้นกับ Clawdbot ผู้ช่วยส่วนตัวอัจฉริยะพลัง AI แบบ Open-source ที่สามารถรันบนเครื่องของผู้ใช้ได้โดยตรง ล่าสุดนักวิจัยด้านความปลอดภัยไซเบอร์ได้ออกมาส่งสัญญาณเตือนภัยครั้งใหญ่ หลังจากพบช่องโหว่ร้ายแรงที่ทำให้ข้อมูลส่วนตัว ประวัติการแชท และรหัส API Keys ของผู้ใช้งานจำนวนมากรั่วไหลสู่สาธารณะ เนื่องจากปัญหาการตั้งค่าเซิร์ฟเวอร์ที่ไม่รัดกุม

 

ช่องโหว่ "Clawdbot Control" เปิดประตูให้แฮกเกอร์

 

ช่องโหว่ดังกล่าวถูกค้นพบโดย Jamieson O'Reilly นักวิจัยด้านความปลอดภัย ซึ่งระบุว่าเซิร์ฟเวอร์ควบคุมของ Clawdbot นับร้อยเครื่องถูกตั้งค่าแบบเปิดเผยต่อสาธารณะ ทำให้ใครก็ตามที่ใช้เครื่องมือสแกนอินเทอร์เน็ตอย่าง Shodan สามารถค้นหาอินสแตนซ์เหล่านี้ได้ภายในไม่กี่วินาที

 

ปัญหาหลักเกิดจากการนำ Gateway ของ Clawdbot ไปไว้หลัง Reverse Proxy ที่ไม่ได้ตั้งค่าระบบยืนยันตัวตนให้ถูกต้อง ส่งผลให้ผู้ไม่หวังดีสามารถเข้าถึงข้อมูลสำคัญได้ดังนี้:

 

  • API Keys และ Bot Tokens: ของบริการต่างๆ ที่เชื่อมต่อไว้

  • ประวัติการสนทนาฉบับเต็ม: จากทุกแพลตฟอร์มแชทที่ AI เข้าถึง

  • สิทธิ์การส่งข้อความ: แฮกเกอร์สามารถสวมรอยส่งข้อความในนามของผู้ใช้ได้

  • การสั่งรันคำสั่ง (Remote Code Execution): ซึ่งถือเป็นความเสี่ยงสูงสุดทางไซเบอร์

 

ความเสี่ยงต่อทรัพย์สินคริปโต: ขโมย Private Key ได้ใน 5 นาที

 

สิ่งที่น่ากังวลที่สุดสำหรับเหล่านักลงทุนคือความสามารถของ Clawdbot ที่เข้าถึงระบบเครื่องคอมพิวเตอร์ได้เกือบทั้งหมด (Full System Access) Matvey Kukuy ซีอีโอของ Archestra AI ได้ทดสอบเจาะระบบผ่านเทคนิค Prompt Injection โดยการส่งอีเมลหลอกล่อให้ AI อ่านข้อมูล ผลปรากฏว่าเขาสามารถดึงข้อมูล Private Key ของกระเป๋าเงินคริปโตออกมาได้ภายในเวลาเพียง 5 นาทีเท่านั้น

 

Archestra AI.jpg
ที่มา: Matvey Kukuy

 

เนื่องจาก Clawdbot มีสิทธิ์ในการอ่าน-เขียนไฟล์ รันคำสั่งผ่าน Shell และควบคุมเบราว์เซอร์ การรัน AI Agent ที่มีสิทธิ์ระดับสูงเช่นนี้บนเครื่องส่วนตัวจึงเปรียบเสมือนการเปิดบ้านรับอันตรายหากไม่มีระบบป้องกันที่แน่นหนาพอ

 

วิธีป้องกันและคำแนะนำจากผู้เชี่ยวชาญ

 

SlowMist บริษัทรักษาความปลอดภัยบล็อกเชน แนะนำให้ผู้ใช้งาน Clawdbot ตรวจสอบการตั้งค่าเซิร์ฟเวอร์ของตนเองทันที โดยเฉพาะการตรวจสอบว่าพอร์ตต่างๆ ถูกเปิดทิ้งไว้สู่สาธารณะหรือไม่

 

คำแนะนำเบื้องต้นเพื่อความปลอดภัยประกอบด้วย:

 

  • ทำ IP Whitelisting: อนุญาตให้เฉพาะไอพีที่เชื่อถือได้เท่านั้นที่เข้าถึงพอร์ตของ Clawdbot ได้

  • ตรวจสอบการตั้งค่า Proxy: มั่นใจว่ามีการบังคับใช้ระบบยืนยันตัวตน (Authentication) อย่างเข้มงวด

  • ระมัดระวังการให้สิทธิ์ AI: หลีกเลี่ยงการให้ AI เข้าถึงไฟล์ที่มีข้อมูลความลับทางการเงินหรือรหัสผ่านโดยไม่จำเป็น

 

สรุปได้ว่า แม้ Clawdbot จะเป็นเครื่องมือที่ทรงพลัง แต่ผู้ใช้ต้องแลกมาด้วยความรับผิดชอบในการดูแลโครงสร้างพื้นฐานของตนเอง เพราะในโลกของ AI Agent "ความสะดวกสบาย" มักจะมาพร้อมกับ "ความเสี่ยง" เสมอหากละเลยเรื่องความปลอดภัย

 

อ้างอิง : cointelegraph.com

ภาพ youtube.com

 

สร้างวิสัยทัศน์ที่ไวกว่า ด้วยข่าวคริปโตจาก Bitcoin Addict

Tag : AI  SlowMist  Private Key