VIDEO
HIGHLIGHT
Log InSign up
Clawdbot Is "Infostealer Malware" (What I Built Instead)
SummaryTranscriptChat

Clawdbot Is "Infostealer Malware" (What I Built Instead)

Pourquoi je n'ai pas installé Cloudbot ?

Introduction et contexte

  • L'intervenant revient d'un voyage de ski et mentionne un projet GitHub en pleine croissance.
  • Il évoque des YouTubers qualifiant le projet de "24-7 employee" et certains l'appelant AGI, tout en annonçant qu'il expliquera pourquoi il ne l'a pas installé.

Problèmes de sécurité avec Cloudbot

  • L'intervenant révèle que Cloudbot a 42,000 fuites de sécurité et instances sans protection adéquate.
  • En recherchant sur Cloudbot, il découvre une attaque par injection de prompt cachée dans un article de sécurité.

Comparaison entre Open Claw et Cloudcode

  • Open Claw se connecte à divers services (messages, emails, fichiers), mais Cloudcode fait déjà cela avec des serveurs mcp.
  • La proposition de valeur principale d'Open Claw est sa capacité à fonctionner 24/7 et à envoyer des messages proactivement.

Réactions face au succès viral

  • Le lancement de Cloudbot devient viral avec 9000 étoiles sur GitHub en 24 heures, attirant l'attention d'influenceurs.
  • Cependant, des problèmes surviennent rapidement après le lancement, notamment une violation de marque déposée.

Problèmes liés aux crypto-monnaies

  • Le créateur tente de renommer le projet après que des escrocs aient profité du nom pour lancer un faux token sur Solana.
  • Cela entraîne une perte massive pour les utilisateurs lorsque la fraude est révélée.

Vulnérabilités critiques découvertes

  • Des chercheurs découvrent que 42,000 instances sont exposées à Internet public avec accès complet aux informations personnelles.
  • Trois vulnérabilités critiques sont enregistrées avec des scores élevés (9.4 et 9.6), mettant en garde contre l'installation de Cloudbot.

Risques d'injection par prompt

  • L'intervenant explique comment les attaques par injection peuvent compromettre la sécurité en mélangeant les instructions utilisateur avec celles provenant d'autres sources.
  • Il souligne que l'IA ne peut pas distinguer entre les messages légitimes et ceux malveillants, rendant le système vulnérable.

Attaques par injection de prompt et sécurité

Détection des attaques

  • L'intervenant évoque la détection d'une attaque par injection de prompt sur un site web, soulignant l'importance de la sécurité dans les systèmes en ligne.
  • Il mentionne que sans une configuration de sécurité appropriée, ses informations personnelles auraient pu être compromises.

Réflexions sur la sécurité

  • L'intervenant fait un parallèle entre les mesures de sécurité physiques (comme couvrir les caméras) et le partage imprudent d'accès à des projets open source.
  • Il explique qu'il a choisi de ne pas acheter un nouvel ordinateur pour exécuter un projet open source, préférant utiliser ce qu'il avait déjà.

Configuration du système AI

  • L'orateur décrit son assistant AI qui fonctionne 24/7, capable d'exécuter des tâches sans nécessiter une maintenance constante.
  • Il souligne l'importance d'un système autonome qui peut s'améliorer tout seul et communiquer efficacement avec lui.

Coût et accessibilité

  • Le coût total pour maintenir ce système est de 200 dollars par mois, ce qui inclut divers abonnements nécessaires à son fonctionnement.

Philosophie derrière le développement AI

  • L'intervenant insiste sur l'importance du contrôle personnel dans le développement des systèmes AI, mettant en avant que la commodité ne doit pas primer sur la sécurité ou la vie privée.
  • Il conclut que ces systèmes ne sont pas adaptés aux entreprises en raison des préoccupations liées à la sécurité.
Video description

OpenClaw (Clawdbot) has 42,000 exposed instances, CVE scores of 9.4-9.6, and Google's VP of Security called it "info stealer malware." Here's why I didn't install it and what I built inside Claude Code instead. 1. My Clawdbot Replica Explained: https://youtu.be/jGuzXshuFrQ?si=m9Qlq1gZkPlC4F5t 2. MINI Free course how to setup it yourself coming out on Youtube Wednesday, February 11th. Subscribe and turn on notifications so you don't miss it. 3. Join the AI Productivity Hub for hands-on tutorials and help with your setup: https://www.skool.com/ai-productivity-hub TIMESTAMPS: 00:00 - Why I skipped the Clawdbot hype 01:20 - What OpenClaw actually does (vs Claude Code) 02:47 - The Clawdbot timeline: from viral to disaster 03:24 - Anthropic's trademark notice and the crypto scam 04:20 - 42,000 exposed instances discovered 05:11 - Three critical CVEs (9.4-9.6 severity) 05:34 - Google VP: "It's info stealer malware" 05:59 - The architecture problem (prompt injection explained) 07:04 - I caught a real prompt injection during research 08:22 - Why I didn't install it 09:08 - What I built instead with Claude Code 10:03 - My $200/month setup breakdown 10:27 - The philosophy: own your AI system Stay safe, stay curious and let's build cool stuff :) GG