上海
★ 設為星標 | 只講人話,帶你玩轉AIGC。
這兩天,AI 圈的“神作” Clawdbot 的在 X(推特)上徹底火了。
簡單來說,它就像是一個住在你電腦里的“賈維斯”:你只要動動嘴,它就能幫你發郵件、訂機票、寫代碼,甚至能接管你的操作系統去干各種臟活累活。
甚至有人說,用它自動完成了一筆汽車交易,省了 4200 美元。
聽起來是不是爽翻了?
6.5 萬星的 GitHub 關注度也證明了大家對這種“全自動 Agent”有多饑渴。
但說實話,當我翻完安全專家 Jamieson 的深度調查后,后背直接冒了一層冷汗。
我們在歡呼 AI 終于進化成“管家”的時候,可能正親手把自家的防盜門給拆了。
今天不聊那些晦澀的配置,咱們就拆解一下:這個正瘋狂收割流量的“神級項目”,到底藏著多少讓你睡不著覺的雷。
01 裸奔的“家門”:1300 多個控制臺在公網裸奔
這是目前最觸目驚心的發現。
很多用戶為了省事,在配置時將網關綁定到了 0.0.0.0(對外開放)而不是默認的 127.0.0.1(僅限本地)。
結果呢?本該只有你能控制的后臺,現在全世界都能逛。
安全研究員 Jamieson 和 fmdz 通過 Shodan 掃描發現,公網上竟然有超過 1000 個暴露的 Clawdbot 服務器,這里面大量服務器處于隨時可能被攻擊狀態。
圖:Shodan掃描顯示超過1000個Clawdbot網關暴露在公網
fmdz 在他那條獲得 130 萬次瀏覽的帖子里發出了嚴厲警告:
“Clawd 災難即將來臨。如果人們繼續在 VPS 上托管它,還不看文檔就亂開端口且零認證……我擔心很快就會發生巨大的憑證泄露事件。”
圖:一個暴露在公網的Clawdbot控制面板截圖(來源:X/Twitter)
真實案例:Signal 加密通訊被“一鍵破解”
一個真實的案例:一個自稱“AI 系統工程師”的高級玩家,在他的 Clawdbot 服務器上掛了自己的 Signal(全球最安全的加密通訊軟件) 賬戶。
結果因為服務器裸奔,攻擊的人輕而易舉地翻到了他的 Signal 設備鏈接 URI。
圖:暴露的Signal設置腳本,其中包含敏感的鏈接信息
黑客只需要在任何一臺手機上點一下這個鏈接,就能直接“配對”該賬戶,擁有完全訪問權限。
“Signal 辛苦搞的那些端到端加密,在那一刻全成了擺設。因為你的配對憑證,就大刺刺地躺在一個世界可讀的臨時文件里。”
一旦黑客進入控制界面,他不僅能看你的聊天記錄,還能以你的身份行事、執行任意命令。
這已經不是泄露,這是身份與代理權的全線淪陷。
02 消息通道注入:聊天群成了黑客的“直通車”
Clawdbot 能接入飛書甚至微信等工具,這很方便,但也意味著你的信任邊界瞬間擴大到了“任何能給你發消息的人”。
真實案例:“find ~ 事件”
官方文檔里記了一個真實的“翻車”案例:一位“友好的測試者”在群聊里給 AI 發了個指令:find ~(列出主目錄下的所有文件)。
結果這個老實的 AI 真的欣然照辦,當場在群里把主人的整個文件目錄結構給“刷屏”了。
那一刻,你電腦里有哪些文件夾、叫什么名字,全成了公開的秘密。
03 集成平臺濫用:AI 代理是怎么變成“內鬼”的?
這是很多專業玩家最容易忽視的坑。
一旦攻擊者控制了你的 Clawdbot,他們就可以利用它已有的合法授權,在你的 Slack、Jira、GitHub 上進行橫向移動 。
看看這張 AI 代理的工作原理圖,你就明白為什么它能成為完美的“內鬼”:
圖:AI代理的工作原理,其核心是連接和操作各種外部工具
它能“聽”也能“看”:它接收文本指令,還能通過截圖感知你的屏幕內容 。
它能模擬人類操作:它可以自主生成行動序列(Actions),比如點擊某個坐標、輸入特定的字符 。
它有執行權限:所有的操作最終都會應用到你的虛擬機或物理機上 。
正如那句大實話:“連接的東西越多,攻擊者對你整個數字世界的控制力就越大 。”
04 進階實戰:利用 AI-Infra-Guard 進行資產暴露自查
光說不練假把式。
為了驗證“網絡暴露”風險到底有多嚴重,我決定動手做個測試。
我使用了騰訊朱雀實驗室的開源安全工具 AI-Infra-Guard,針對網絡中的 Clawdbot 網關進行了一次紅隊掃描。
沒想到 ai infra guard 已經第一時間支持了 clawdbot 這個規則的安全檢測。
掃描驗證結果相當震撼。
工具迅速在一個公網 IP (34.29.xx.xx) 上識別到了 Clawdbot 服務。
看到了嗎? 工具直接抓取到了管理后臺的界面快照,且明確標記為“未鑒權”。
這意味著,只要黑客愿意,他現在就可以接管這臺機器,而你可能還在睡夢中。
05 如何安全地“馴服”這頭猛獸?
效率再高,也別拿身家性命開玩笑。
我們沒必要因噎廢食,但如果你非要用 Clawdbot,請務必把這 5 條“保命家規”焊死在你的配置里:
1、鎖死大門:絕對嚴禁綁定 0.0.0.0!
哪怕為了方便也不行。
必須綁定在 127.0.0.1(本地),只準自己玩 。
如果非要遠程連,請走 Tailscale 或 SSH 隧道,別讓它在公網上裸奔。
2、拒絕搭訕:別讓 AI 誰的話都接。
聊天軟件必須開啟 “配對模式”(Pairing Mode),只有你欽點的人它才理 。
群聊里必須設置 “@ 機器人”才響應。(配置requireMention: true),防止它被群友的垃圾話帶溝里去 。
而且要注意,為你接入的聊天應用使用備用號碼,而不是你的主號。
3、立好規矩:在系統提示詞里把規矩寫死:“絕不分享文件目錄,絕不泄露 API Key” 。
凡是涉及刪文件、轉賬、改配置的操作,必須先問過你才能動手。
4、“分房睡”:千萬別在你的主力機上跑這玩意兒!
把它扔到隔離的 Docker 沙箱、虛擬機或者一臺不存密碼的舊電腦上去 。
萬一真炸了,也就炸個“客房”,別連累“主臥”。
5、新員工待遇:記住一句心法:把它當成第一天入職的實習生防著。
能給只讀權限(Read-only)就別給讀寫 ,能不給 Shell 權限就不給。
一旦黑客拿到了控制權,你的限制就是最后一道防線。
寫在最后:擁抱未來,但別忘了鎖門
說實話,Clawdbot 的出現,確實讓我們看到了未來的樣子:一個 AI 能幫你搞定一切、你只負責喝咖啡的時代。
這種革命性的能力,確實酷到不行。
但尷尬的是,我們的工具進化了,安全意識卻還停留在“裸奔”階段。
正如 Medium 上那句扎心的熱評所說:
“裸跑 Clawdbot,就像是給第一天入職的實習生,直接開了公司的最高 Root 權限。”
連安全專家 Jamieson 在調查結束后都忍不住感嘆:
“如果連行家都會在配置上翻車,那你敢想象這對急著嘗鮮的普通用戶意味著什么嗎?”
AI 帶來的便利確實誘人,但能力越大,雷也越大。
在這個技術狂飆的草莽時代,做第一個吃螃蟹的人很酷,但千萬別做第一個因為“沒鎖門”而丟了家底的人。
在把鑰匙交給 AI 之前,請務必確認,你家真的裝好防盜門了。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
