關(guān)鍵詞

Clawdbot

近期在社交平臺走紅的 AI 助手工具 Clawdbot，正在被大量用戶部署在 Mac mini、容器環(huán)境以及 VPS 服務(wù)器上。然而，隨著使用規(guī)?？焖贁U(kuò)張，一個(gè)危險(xiǎn)現(xiàn)象也逐漸浮出水面——大量實(shí)例因默認(rèn)配置問題直接暴露在公網(wǎng)，成為可被掃描和接管的目標(biāo)。

安全研究人員發(fā)現(xiàn)，問題并不在復(fù)雜的零日漏洞，而在一個(gè)看似“理所當(dāng)然”的本地信任邏輯上。

超過 1000 個(gè)實(shí)例可被公網(wǎng)訪問，數(shù)百個(gè)無認(rèn)證保護(hù)

根據(jù) O’Reilly 網(wǎng)絡(luò)安全社區(qū)的調(diào)查結(jié)果，目前通過公網(wǎng)掃描可訪問的 Clawdbot 實(shí)例超過 1000 個(gè)，其中至少 300 個(gè)完全沒有任何身份驗(yàn)證機(jī)制。

Clawdbot 本身具備較高權(quán)限，通常持有多個(gè)第三方服務(wù)的 API 密鑰或訪問憑證，堪稱“數(shù)字管家”。一旦實(shí)例被未授權(quán)訪問，攻擊者不僅可以操控其執(zhí)行命令，還可能借此竊取用戶數(shù)據(jù)、濫用集成服務(wù)，甚至作為跳板進(jìn)一步橫向移動。

問題的根源出在 Clawdbot 的認(rèn)證機(jī)制與部署方式之間的“錯(cuò)位”。

“l(fā)ocalhost 信任”在生產(chǎn)環(huán)境被錯(cuò)誤放大

在默認(rèn)的本地開發(fā)環(huán)境中，Clawdbot 控制界面會對來自 localhost（127.0.0.1）的請求自動放行，這是為了方便開發(fā)調(diào)試。正常情況下，外部訪問應(yīng)當(dāng)經(jīng)過身份驗(yàn)證流程，包括設(shè)備標(biāo)識與挑戰(zhàn)響應(yīng)機(jī)制。

但當(dāng)用戶將 Clawdbot 部署到生產(chǎn)環(huán)境，并通過 NGINX 或 Caddy 等反向代理對外提供服務(wù)時(shí)，所有流量在應(yīng)用層看到的來源 IP 都變成了 127.0.0.1。

結(jié)果是：來自公網(wǎng)的請求被錯(cuò)誤識別為“本地訪問”，認(rèn)證邏輯被繞過，攻擊者可以在無需登錄的情況下直接執(zhí)行命令。

這類問題并非傳統(tǒng)意義上的代碼漏洞，而是典型的“部署安全誤用”。但在 AI 代理類產(chǎn)品中，其風(fēng)險(xiǎn)被進(jìn)一步放大。

高權(quán)限 AI 代理一旦失守，后果遠(yuǎn)超普通 Web 服務(wù)

Clawdbot 具備調(diào)用系統(tǒng)命令、訪問文件、讀取憑證、連接外部 API 等能力。一旦被接管，攻擊者可通過提示注入、指令篡改等方式操縱代理執(zhí)行惡意任務(wù)。

如果該實(shí)例連接了代碼倉庫、云服務(wù)、數(shù)據(jù)庫或自動化流水線，攻擊面將進(jìn)一步擴(kuò)大。攻擊者甚至可以利用代理“合法通道”進(jìn)行數(shù)據(jù)外傳，而不觸發(fā)傳統(tǒng)入侵檢測規(guī)則。

這種“功能即攻擊面”的風(fēng)險(xiǎn)，正在成為 AI 自動化工具的共性安全挑戰(zhàn)。

官方已更新文檔，社區(qū)推動修復(fù)

安全社區(qū)已向 Clawdbot 提交 Pull Request，改進(jìn)默認(rèn)配置邏輯，并增強(qiáng)對反向代理場景的識別能力。官方文檔也已更新，明確強(qiáng)調(diào)在生產(chǎn)環(huán)境中必須正確配置代理頭部（如 X-Forwarded-For）并啟用嚴(yán)格認(rèn)證機(jī)制。

對于已經(jīng)部署 Clawdbot 的用戶，建議立即自查：

• 確認(rèn)實(shí)例是否暴露公網(wǎng)

• 檢查是否存在認(rèn)證繞過風(fēng)險(xiǎn)

• 核實(shí)反向代理是否正確傳遞真實(shí)客戶端 IP

• 禁止對 0.0.0.0 開放管理接口

• 限制管理端口僅允許內(nèi)網(wǎng)訪問

AI 工具正在快速進(jìn)入個(gè)人與企業(yè)生產(chǎn)環(huán)境，但“默認(rèn)可用”不等于“默認(rèn)安全”。這次 Clawdbot 的暴露事件再次提醒我們——在 AI 代理具備系統(tǒng)級權(quán)限的前提下，任何一個(gè)本地信任假設(shè)，都可能成為真正的“前門漏洞”。

在部署 AI 助手之前，先把門鎖好。

安全圈

網(wǎng)羅圈內(nèi)熱點(diǎn) 專注網(wǎng)絡(luò)安全

實(shí)時(shí)資訊一手掌握！

好看你就分享 有用就點(diǎn)個(gè)贊

支持「安全圈」就點(diǎn)個(gè)三連吧！