千萬別把 Clawdbot 當賈維斯！6.5萬星爆紅背后，你的隱私正在“裸奔”

★ 設為星標 | 只講人話，帶你玩轉AIGC。

這兩天，AI 圈的“神作” Clawdbot 的在 X（推特）上徹底火了。

簡單來說，它就像是一個住在你電腦里的“賈維斯”：你只要動動嘴，它就能幫你發郵件、訂機票、寫代碼，甚至能接管你的操作系統去干各種臟活累活。

甚至有人說，用它自動完成了一筆汽車交易，省了 4200 美元。

聽起來是不是爽翻了？

6.5 萬星的 GitHub 關注度也證明了大家對這種“全自動 Agent”有多饑渴。

但說實話，當我翻完安全專家 Jamieson 的深度調查后，后背直接冒了一層冷汗。

我們在歡呼 AI 終于進化成“管家”的時候，可能正親手把自家的防盜門給拆了。

今天不聊那些晦澀的配置，咱們就拆解一下：這個正瘋狂收割流量的“神級項目”，到底藏著多少讓你睡不著覺的雷。

01 裸奔的“家門”：1300 多個控制臺在公網裸奔

這是目前最觸目驚心的發現。

很多用戶為了省事，在配置時將網關綁定到了 0.0.0.0（對外開放）而不是默認的 127.0.0.1（僅限本地）。

結果呢？本該只有你能控制的后臺，現在全世界都能逛。

安全研究員 Jamieson 和 fmdz 通過 Shodan 掃描發現，公網上竟然有超過 1000 個暴露的 Clawdbot 服務器，這里面大量服務器處于隨時可能被攻擊狀態。

圖：Shodan掃描顯示超過1000個Clawdbot網關暴露在公網

fmdz 在他那條獲得 130 萬次瀏覽的帖子里發出了嚴厲警告：

“Clawd 災難即將來臨。如果人們繼續在 VPS 上托管它，還不看文檔就亂開端口且零認證……我擔心很快就會發生巨大的憑證泄露事件。”

圖：一個暴露在公網的Clawdbot控制面板截圖（來源：X/Twitter）

真實案例：Signal 加密通訊被“一鍵破解”

一個真實的案例：一個自稱“AI 系統工程師”的高級玩家，在他的 Clawdbot 服務器上掛了自己的 Signal（全球最安全的加密通訊軟件） 賬戶。

結果因為服務器裸奔，攻擊的人輕而易舉地翻到了他的 Signal 設備鏈接 URI。

圖：暴露的Signal設置腳本，其中包含敏感的鏈接信息

黑客只需要在任何一臺手機上點一下這個鏈接，就能直接“配對”該賬戶，擁有完全訪問權限。

“Signal 辛苦搞的那些端到端加密，在那一刻全成了擺設。因為你的配對憑證，就大刺刺地躺在一個世界可讀的臨時文件里。”

一旦黑客進入控制界面，他不僅能看你的聊天記錄，還能以你的身份行事、執行任意命令。

這已經不是泄露，這是身份與代理權的全線淪陷。

02 消息通道注入：聊天群成了黑客的“直通車”

Clawdbot 能接入飛書甚至微信等工具，這很方便，但也意味著你的信任邊界瞬間擴大到了“任何能給你發消息的人”。

真實案例：“find ~ 事件”

官方文檔里記了一個真實的“翻車”案例：一位“友好的測試者”在群聊里給 AI 發了個指令：find ~（列出主目錄下的所有文件）。

結果這個老實的 AI 真的欣然照辦，當場在群里把主人的整個文件目錄結構給“刷屏”了。

那一刻，你電腦里有哪些文件夾、叫什么名字，全成了公開的秘密。

03 集成平臺濫用：AI 代理是怎么變成“內鬼”的？

這是很多專業玩家最容易忽視的坑。

一旦攻擊者控制了你的 Clawdbot，他們就可以利用它已有的合法授權，在你的 Slack、Jira、GitHub 上進行橫向移動 。

看看這張 AI 代理的工作原理圖，你就明白為什么它能成為完美的“內鬼”：

圖：AI代理的工作原理，其核心是連接和操作各種外部工具

它能“聽”也能“看”：它接收文本指令，還能通過截圖感知你的屏幕內容 。

它能模擬人類操作：它可以自主生成行動序列（Actions），比如點擊某個坐標、輸入特定的字符 。

它有執行權限：所有的操作最終都會應用到你的虛擬機或物理機上 。

正如那句大實話：“連接的東西越多，攻擊者對你整個數字世界的控制力就越大 。”

04 進階實戰：利用 AI-Infra-Guard 進行資產暴露自查

光說不練假把式。

為了驗證“網絡暴露”風險到底有多嚴重，我決定動手做個測試。

我使用了騰訊朱雀實驗室的開源安全工具 AI-Infra-Guard，針對網絡中的 Clawdbot 網關進行了一次紅隊掃描。

沒想到 ai infra guard 已經第一時間支持了 clawdbot 這個規則的安全檢測。

掃描驗證結果相當震撼。

工具迅速在一個公網 IP (34.29.xx.xx) 上識別到了 Clawdbot 服務。

看到了嗎？ 工具直接抓取到了管理后臺的界面快照，且明確標記為“未鑒權”。

這意味著，只要黑客愿意，他現在就可以接管這臺機器，而你可能還在睡夢中。

05 如何安全地“馴服”這頭猛獸？

效率再高，也別拿身家性命開玩笑。

我們沒必要因噎廢食，但如果你非要用 Clawdbot，請務必把這 5 條“保命家規”焊死在你的配置里：

1、鎖死大門：絕對嚴禁綁定 0.0.0.0！

哪怕為了方便也不行。

必須綁定在 127.0.0.1（本地），只準自己玩 。

如果非要遠程連，請走 Tailscale 或 SSH 隧道，別讓它在公網上裸奔。

2、拒絕搭訕：別讓 AI 誰的話都接。

聊天軟件必須開啟 “配對模式”（Pairing Mode），只有你欽點的人它才理 。

群聊里必須設置 “@ 機器人”才響應。（配置requireMention: true），防止它被群友的垃圾話帶溝里去 。

而且要注意，為你接入的聊天應用使用備用號碼，而不是你的主號。

3、立好規矩：在系統提示詞里把規矩寫死：“絕不分享文件目錄，絕不泄露 API Key” 。

凡是涉及刪文件、轉賬、改配置的操作，必須先問過你才能動手。

4、“分房睡”：千萬別在你的主力機上跑這玩意兒！

把它扔到隔離的 Docker 沙箱、虛擬機或者一臺不存密碼的舊電腦上去 。

萬一真炸了，也就炸個“客房”，別連累“主臥”。

5、新員工待遇：記住一句心法：把它當成第一天入職的實習生防著。

能給只讀權限（Read-only）就別給讀寫 ，能不給 Shell 權限就不給。

一旦黑客拿到了控制權，你的限制就是最后一道防線。

寫在最后：擁抱未來，但別忘了鎖門

說實話，Clawdbot 的出現，確實讓我們看到了未來的樣子：一個 AI 能幫你搞定一切、你只負責喝咖啡的時代。

這種革命性的能力，確實酷到不行。

但尷尬的是，我們的工具進化了，安全意識卻還停留在“裸奔”階段。

正如 Medium 上那句扎心的熱評所說：

“裸跑 Clawdbot，就像是給第一天入職的實習生，直接開了公司的最高 Root 權限。”

連安全專家 Jamieson 在調查結束后都忍不住感嘆：

“如果連行家都會在配置上翻車，那你敢想象這對急著嘗鮮的普通用戶意味著什么嗎？”

AI 帶來的便利確實誘人，但能力越大，雷也越大。

在這個技術狂飆的草莽時代，做第一個吃螃蟹的人很酷，但千萬別做第一個因為“沒鎖門”而丟了家底的人。

在把鑰匙交給 AI 之前，請務必確認，你家真的裝好防盜門了。