★ 設(shè)為星標(biāo) | 只講人話，帶你玩轉(zhuǎn)AIGC。

這兩天，AI 圈的“神作” Clawdbot 的在 X（推特）上徹底火了。

簡(jiǎn)單來說，它就像是一個(gè)住在你電腦里的“賈維斯”：你只要?jiǎng)觿?dòng)嘴，它就能幫你發(fā)郵件、訂機(jī)票、寫代碼，甚至能接管你的操作系統(tǒng)去干各種臟活累活。

甚至有人說，用它自動(dòng)完成了一筆汽車交易，省了 4200 美元。

聽起來是不是爽翻了？

6.5 萬星的 GitHub 關(guān)注度也證明了大家對(duì)這種“全自動(dòng) Agent”有多饑渴。

但說實(shí)話，當(dāng)我翻完安全專家 Jamieson 的深度調(diào)查后，后背直接冒了一層冷汗。

我們?cè)跉g呼 AI 終于進(jìn)化成“管家”的時(shí)候，可能正親手把自家的防盜門給拆了。

今天不聊那些晦澀的配置，咱們就拆解一下：這個(gè)正瘋狂收割流量的“神級(jí)項(xiàng)目”，到底藏著多少讓你睡不著覺的雷。

01 裸奔的“家門”：1300 多個(gè)控制臺(tái)在公網(wǎng)裸奔

這是目前最觸目驚心的發(fā)現(xiàn)。

很多用戶為了省事，在配置時(shí)將網(wǎng)關(guān)綁定到了 0.0.0.0（對(duì)外開放）而不是默認(rèn)的 127.0.0.1（僅限本地）。

結(jié)果呢？本該只有你能控制的后臺(tái)，現(xiàn)在全世界都能逛。

安全研究員 Jamieson 和 fmdz 通過 Shodan 掃描發(fā)現(xiàn)，公網(wǎng)上竟然有超過 1000 個(gè)暴露的 Clawdbot 服務(wù)器，這里面大量服務(wù)器處于隨時(shí)可能被攻擊狀態(tài)。

圖：Shodan掃描顯示超過1000個(gè)Clawdbot網(wǎng)關(guān)暴露在公網(wǎng)

fmdz 在他那條獲得 130 萬次瀏覽的帖子里發(fā)出了嚴(yán)厲警告：

“Clawd 災(zāi)難即將來臨。如果人們繼續(xù)在 VPS 上托管它，還不看文檔就亂開端口且零認(rèn)證……我擔(dān)心很快就會(huì)發(fā)生巨大的憑證泄露事件?！?/p>

圖：一個(gè)暴露在公網(wǎng)的Clawdbot控制面板截圖（來源：X/Twitter）

真實(shí)案例：Signal 加密通訊被“一鍵破解”

一個(gè)真實(shí)的案例：一個(gè)自稱“AI 系統(tǒng)工程師”的高級(jí)玩家，在他的 Clawdbot 服務(wù)器上掛了自己的 Signal（全球最安全的加密通訊軟件） 賬戶。

結(jié)果因?yàn)榉?wù)器裸奔，攻擊的人輕而易舉地翻到了他的 Signal 設(shè)備鏈接 URI。

圖：暴露的Signal設(shè)置腳本，其中包含敏感的鏈接信息

黑客只需要在任何一臺(tái)手機(jī)上點(diǎn)一下這個(gè)鏈接，就能直接“配對(duì)”該賬戶，擁有完全訪問權(quán)限。

“Signal 辛苦搞的那些端到端加密，在那一刻全成了擺設(shè)。因?yàn)槟愕呐鋵?duì)憑證，就大刺刺地躺在一個(gè)世界可讀的臨時(shí)文件里?！?/p>

一旦黑客進(jìn)入控制界面，他不僅能看你的聊天記錄，還能以你的身份行事、執(zhí)行任意命令。

這已經(jīng)不是泄露，這是身份與代理權(quán)的全線淪陷。

02 消息通道注入：聊天群成了黑客的“直通車”

Clawdbot 能接入飛書甚至微信等工具，這很方便，但也意味著你的信任邊界瞬間擴(kuò)大到了“任何能給你發(fā)消息的人”。

真實(shí)案例：“find ~ 事件”

官方文檔里記了一個(gè)真實(shí)的“翻車”案例：一位“友好的測(cè)試者”在群聊里給 AI 發(fā)了個(gè)指令：find ~（列出主目錄下的所有文件）。

結(jié)果這個(gè)老實(shí)的 AI 真的欣然照辦，當(dāng)場(chǎng)在群里把主人的整個(gè)文件目錄結(jié)構(gòu)給“刷屏”了。

那一刻，你電腦里有哪些文件夾、叫什么名字，全成了公開的秘密。

03 集成平臺(tái)濫用：AI 代理是怎么變成“內(nèi)鬼”的？

這是很多專業(yè)玩家最容易忽視的坑。

一旦攻擊者控制了你的 Clawdbot，他們就可以利用它已有的合法授權(quán)，在你的 Slack、Jira、GitHub 上進(jìn)行橫向移動(dòng) 。

看看這張 AI 代理的工作原理圖，你就明白為什么它能成為完美的“內(nèi)鬼”：

圖：AI代理的工作原理，其核心是連接和操作各種外部工具

它能“聽”也能“看”：它接收文本指令，還能通過截圖感知你的屏幕內(nèi)容 。

它能模擬人類操作：它可以自主生成行動(dòng)序列（Actions），比如點(diǎn)擊某個(gè)坐標(biāo)、輸入特定的字符 。

它有執(zhí)行權(quán)限：所有的操作最終都會(huì)應(yīng)用到你的虛擬機(jī)或物理機(jī)上 。

正如那句大實(shí)話：“連接的東西越多，攻擊者對(duì)你整個(gè)數(shù)字世界的控制力就越大 。”

04 進(jìn)階實(shí)戰(zhàn)：利用 AI-Infra-Guard 進(jìn)行資產(chǎn)暴露自查

光說不練假把式。

為了驗(yàn)證“網(wǎng)絡(luò)暴露”風(fēng)險(xiǎn)到底有多嚴(yán)重，我決定動(dòng)手做個(gè)測(cè)試。

我使用了騰訊朱雀實(shí)驗(yàn)室的開源安全工具 AI-Infra-Guard，針對(duì)網(wǎng)絡(luò)中的 Clawdbot 網(wǎng)關(guān)進(jìn)行了一次紅隊(duì)掃描。

沒想到 ai infra guard 已經(jīng)第一時(shí)間支持了 clawdbot 這個(gè)規(guī)則的安全檢測(cè)。

掃描驗(yàn)證結(jié)果相當(dāng)震撼。

工具迅速在一個(gè)公網(wǎng) IP (34.29.xx.xx) 上識(shí)別到了 Clawdbot 服務(wù)。

看到了嗎？ 工具直接抓取到了管理后臺(tái)的界面快照，且明確標(biāo)記為“未鑒權(quán)”。

這意味著，只要黑客愿意，他現(xiàn)在就可以接管這臺(tái)機(jī)器，而你可能還在睡夢(mèng)中。

05 如何安全地“馴服”這頭猛獸？

效率再高，也別拿身家性命開玩笑。

我們沒必要因噎廢食，但如果你非要用 Clawdbot，請(qǐng)務(wù)必把這 5 條“保命家規(guī)”焊死在你的配置里：

1、鎖死大門：絕對(duì)嚴(yán)禁綁定 0.0.0.0！

哪怕為了方便也不行。

必須綁定在 127.0.0.1（本地），只準(zhǔn)自己玩 。

如果非要遠(yuǎn)程連，請(qǐng)走 Tailscale 或 SSH 隧道，別讓它在公網(wǎng)上裸奔。

2、拒絕搭訕：別讓 AI 誰的話都接。

聊天軟件必須開啟 “配對(duì)模式”（Pairing Mode），只有你欽點(diǎn)的人它才理 。

群聊里必須設(shè)置 “@ 機(jī)器人”才響應(yīng)。（配置requireMention: true），防止它被群友的垃圾話帶溝里去 。

而且要注意，為你接入的聊天應(yīng)用使用備用號(hào)碼，而不是你的主號(hào)。

3、立好規(guī)矩：在系統(tǒng)提示詞里把規(guī)矩寫死：“絕不分享文件目錄，絕不泄露 API Key” 。

凡是涉及刪文件、轉(zhuǎn)賬、改配置的操作，必須先問過你才能動(dòng)手。

4、“分房睡”：千萬別在你的主力機(jī)上跑這玩意兒！

把它扔到隔離的 Docker 沙箱、虛擬機(jī)或者一臺(tái)不存密碼的舊電腦上去 。

萬一真炸了，也就炸個(gè)“客房”，別連累“主臥”。

5、新員工待遇：記住一句心法：把它當(dāng)成第一天入職的實(shí)習(xí)生防著。

能給只讀權(quán)限（Read-only）就別給讀寫 ，能不給 Shell 權(quán)限就不給。

一旦黑客拿到了控制權(quán)，你的限制就是最后一道防線。

寫在最后：擁抱未來，但別忘了鎖門

說實(shí)話，Clawdbot 的出現(xiàn)，確實(shí)讓我們看到了未來的樣子：一個(gè) AI 能幫你搞定一切、你只負(fù)責(zé)喝咖啡的時(shí)代。

這種革命性的能力，確實(shí)酷到不行。

但尷尬的是，我們的工具進(jìn)化了，安全意識(shí)卻還停留在“裸奔”階段。

正如 Medium 上那句扎心的熱評(píng)所說：

“裸跑 Clawdbot，就像是給第一天入職的實(shí)習(xí)生，直接開了公司的最高 Root 權(quán)限?！?

連安全專家 Jamieson 在調(diào)查結(jié)束后都忍不住感嘆：

“如果連行家都會(huì)在配置上翻車，那你敢想象這對(duì)急著嘗鮮的普通用戶意味著什么嗎？”

AI 帶來的便利確實(shí)誘人，但能力越大，雷也越大。

在這個(gè)技術(shù)狂飆的草莽時(shí)代，做第一個(gè)吃螃蟹的人很酷，但千萬別做第一個(gè)因?yàn)椤皼]鎖門”而丟了家底的人。

在把鑰匙交給 AI 之前，請(qǐng)務(wù)必確認(rèn)，你家真的裝好防盜門了。