Ce chatbot devenu viral qui affole la tech est aussi puissant que dangereux !

Author:

En une poignée de jours, le nom de Clawdbot est devenu viral dans les discussions autour de la tech et de la cybersécurité. Clawdbot est un chatbot d’un nouveau genre et il est tellement populaire que des clones malveillants sont apparus au point que son auteur vient de le rebaptiser Moltbot.

Qu’il s’appelle Clawdbot ou Moltbot, il ne s’agit pas d’un service web ou bien d’une application comme ChatGPT ou Gemini. Moyennant de solides connaissances en informatique, le chatbot, disponible en open source, s’installe directement sur la machine de l’utilisateur, ou bien sur un serveur distant.

Mais, ce qui fait sa particularité, c’est que le chatbot n’est pas lui-même une IA, ni vraiment un outil conversationnel. C’est un agrégateur d’IA, un peu comme les métamoteurs de recherche qui permettent de réaliser une requête et de ressortir les meilleures réponses de tous les moteurs de recherche. Il faut que l’utilisateur le programme pour utiliser ChatGPT ou Claude, LIama, Mistral, pour que la « magie » de l’IA se produise.

L’autre particularité de Moltbot, c’est qu’il ne s’agit pas d’une application chatbot autonome, mais plus d’une extension qui va se greffer à une autre application. Il peut ainsi être ajouté à une application comme WhatsApp ou Telegram, iMessage, Slack, Microsoft Teams

Lorsqu’on l’appelle, il va exploiter l’IA ou les IA demandées pour exécuter des actions réelles. Il peut à peu près tout faire à partir de l’application en question. C’est elle qui lui sert d’hébergement.

Prenons l’exemple d’un utilisateur qui lui demande à partir de WhatsApp de classer les e-mails de sa messagerie, de répondre aux messages urgents et de mettre les autres en attente. L’outil va se connecter à sa boîte e-mail via une API. Il va lire les messages non lus et décider lesquels sont urgents. Il va y répondre et classer ou archiver les autres.

Utilisé dans l’outil collaboratif Slack, si on lui demande dans son canal interne : « Fais un rapport des ventes de la semaine et envoie-le au directeur marketing », il va interroger les bases de données internes, extraire les données, générer un document et l’envoyer directement à la personne concernée par e-mail ou via Slack. C’est plutôt séduisant puisque l’outil transforme des applications de messagerie en interfaces de commande universelles.

Clawdbot/Moltbot va se greffer à une application et c’est elle qui va servir de chatbot pour lui demander de réaliser une tâche à partir d’une autre application. © Futura

Un chabot qui agit sans filtre

Mais voilà, ce chatbot qui agit comme une télécommande à partir d’une application, n’est pas sans danger. Le problème, c’est que l’on dispose de la puissance d’une IA probabiliste, comme celle de GPT ou de Mistral (LLM). Elle est branchée directement sur des systèmes réels (des applications) et elle s’exécute sans aucune supervision humaine ou validation avant action. Le risque est démultiplié, puisqu’avec un simple chatbot conversationnel, on peut s’attendre à une hallucination, mais l’utilisateur est toujours là pour la contrôler.

Avec Molbot, en cas d’hallucination, l’action est quand même réalisée et elle est irréversible. L’autre énorme souci, c’est son accès total et sans aucun filtre à des services externes à l’application. Pour fonctionner, l’outil doit disposer d’un accès profond au système, y compris la possibilité de lire et écrire des fichiers et d’exécuter des commandes. C’est ce niveau d’accès qui fait sa puissance… et qui pose en même temps de gros risques de sécurité et de confidentialité.

Fuite de données probable

Pour reprendre l’exemple de Slack. Au mieux, une erreur de calcul est probable, avec en conséquence des décisions prises sur des infos fausses. Mais, comme l’IA va agir sur des données sensibles – pas juste du texte – au pire, le risque de fuite de données est décuplé.

Les chercheurs en cybersécurité tirent d’ailleurs la sonnette d’alarme sur l’exposition des données que peut engendrer un Moltbot mal configuré. Ils ont déjà constaté la multiplication de vulnérabilités qui n’existeraient pas sans l’utilisation de Moltbot, comme l’accès public à des clés API, des historiques de conversations, des jetons d’accès à des services de messagerie et même des commandes exécutables à distance. Un attaquant peut littéralement prendre le contrôle de l’agent, voler des identifiants ou manipuler des données sensibles.

L’accélérateur de malwares

L’autre faiblesse fondamentale repose sur ce que l’on appelle le « prompt injection ». Cet agent prend des décisions tout seul et exécute des actions sur la base d’un texte qui peut être mal interprété. Il peut aussi s’agir d’un contenu apparemment anodin, comme un e-mail ou un document piégé qui inclut des instructions cachées.

Si Moltbot lit ce contenu et l’interprète sans filtre, il va directement obéir aux commandes malveillantes qu’il contient. C’est la porte ouverte et sans contrôle au phishing ou autres flibusteries des cybercriminels. Pour ces raisons et pour l’instant, mieux vaut considérer Clawdbot/Moltbot comme un projet pour développeurs avertis, mais pas comme un outil grand public et encore moins comme un assistant professionnel.

Categories: HeadLine

Leave a Reply

Your email address will not be published. Required fields are marked *