江蘇
關鍵詞
Clawdbot
近期在社交平臺走紅的 AI 助手工具 Clawdbot,正在被大量用戶部署在 Mac mini、容器環境以及 VPS 服務器上。然而,隨著使用規模快速擴張,一個危險現象也逐漸浮出水面——大量實例因默認配置問題直接暴露在公網,成為可被掃描和接管的目標。
安全研究人員發現,問題并不在復雜的零日漏洞,而在一個看似“理所當然”的本地信任邏輯上。
超過 1000 個實例可被公網訪問,數百個無認證保護
根據 O’Reilly 網絡安全社區的調查結果,目前通過公網掃描可訪問的 Clawdbot 實例超過 1000 個,其中至少 300 個完全沒有任何身份驗證機制。
Clawdbot 本身具備較高權限,通常持有多個第三方服務的 API 密鑰或訪問憑證,堪稱“數字管家”。一旦實例被未授權訪問,攻擊者不僅可以操控其執行命令,還可能借此竊取用戶數據、濫用集成服務,甚至作為跳板進一步橫向移動。
問題的根源出在 Clawdbot 的認證機制與部署方式之間的“錯位”。
“localhost 信任”在生產環境被錯誤放大
在默認的本地開發環境中,Clawdbot 控制界面會對來自 localhost(127.0.0.1)的請求自動放行,這是為了方便開發調試。正常情況下,外部訪問應當經過身份驗證流程,包括設備標識與挑戰響應機制。
但當用戶將 Clawdbot 部署到生產環境,并通過 NGINX 或 Caddy 等反向代理對外提供服務時,所有流量在應用層看到的來源 IP 都變成了 127.0.0.1。
結果是:來自公網的請求被錯誤識別為“本地訪問”,認證邏輯被繞過,攻擊者可以在無需登錄的情況下直接執行命令。
這類問題并非傳統意義上的代碼漏洞,而是典型的“部署安全誤用”。但在 AI 代理類產品中,其風險被進一步放大。
高權限 AI 代理一旦失守,后果遠超普通 Web 服務
Clawdbot 具備調用系統命令、訪問文件、讀取憑證、連接外部 API 等能力。一旦被接管,攻擊者可通過提示注入、指令篡改等方式操縱代理執行惡意任務。
如果該實例連接了代碼倉庫、云服務、數據庫或自動化流水線,攻擊面將進一步擴大。攻擊者甚至可以利用代理“合法通道”進行數據外傳,而不觸發傳統入侵檢測規則。
這種“功能即攻擊面”的風險,正在成為 AI 自動化工具的共性安全挑戰。
官方已更新文檔,社區推動修復
安全社區已向 Clawdbot 提交 Pull Request,改進默認配置邏輯,并增強對反向代理場景的識別能力。官方文檔也已更新,明確強調在生產環境中必須正確配置代理頭部(如 X-Forwarded-For)并啟用嚴格認證機制。
對于已經部署 Clawdbot 的用戶,建議立即自查:
確認實例是否暴露公網
檢查是否存在認證繞過風險
核實反向代理是否正確傳遞真實客戶端 IP
禁止對 0.0.0.0 開放管理接口
限制管理端口僅允許內網訪問
AI 工具正在快速進入個人與企業生產環境,但“默認可用”不等于“默認安全”。這次 Clawdbot 的暴露事件再次提醒我們——在 AI 代理具備系統級權限的前提下,任何一個本地信任假設,都可能成為真正的“前門漏洞”。
在部署 AI 助手之前,先把門鎖好。
安全圈
網羅圈內熱點 專注網絡安全
實時資訊一手掌握!
好看你就分享 有用就點個贊
支持「安全圈」就點個三連吧!
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
