★ 设为星标 | 只讲人话,带你玩转AIGC。
这两天,AI 圈的“神作” Clawdbot 的在 X(推特)上彻底火了。
简单来说,它就像是一个住在你电脑里的“贾维斯”:你只要动动嘴,它就能帮你发邮件、订机票、写代码,甚至能接管你的操作系统去干各种脏活累活。
甚至有人说,用它自动完成了一笔汽车交易,省了 4200 美元。
听起来是不是爽翻了?
6.5 万星的 GitHub 关注度也证明了大家对这种“全自动 Agent”有多饥渴。
但说实话,当我翻完安全专家 Jamieson 的深度调查后,后背直接冒了一层冷汗。
我们在欢呼 AI 终于进化成“管家”的时候,可能正亲手把自家的防盗门给拆了。
今天不聊那些晦涩的配置,咱们就拆解一下:这个正疯狂收割流量的“神级项目”,到底藏着多少让你睡不着觉的雷。
01 裸奔的“家门”:1300 多个控制台在公网裸奔
这是目前最触目惊心的发现。
很多用户为了省事,在配置时将网关绑定到了 0.0.0.0(对外开放)而不是默认的 127.0.0.1(仅限本地)。
结果呢?本该只有你能控制的后台,现在全世界都能逛。
安全研究员 Jamieson 和 fmdz 通过 Shodan 扫描发现,公网上竟然有超过 1000 个暴露的 Clawdbot 服务器,这里面大量服务器处于随时可能被攻击状态。
图:Shodan扫描显示超过1000个Clawdbot网关暴露在公网
fmdz 在他那条获得 130 万次浏览的帖子里发出了严厉警告:
“Clawd 灾难即将来临。如果人们继续在 VPS 上托管它,还不看文档就乱开端口且零认证……我担心很快就会发生巨大的凭证泄露事件。”
图:一个暴露在公网的Clawdbot控制面板截图(来源:X/Twitter)
真实案例:Signal 加密通讯被“一键破解”
一个真实的案例:一个自称“AI 系统工程师”的高级玩家,在他的 Clawdbot 服务器上挂了自己的 Signal(全球最安全的加密通讯软件) 账户。
结果因为服务器裸奔,攻击的人轻而易举地翻到了他的 Signal 设备链接 URI。
图:暴露的Signal设置脚本,其中包含敏感的链接信息
黑客只需要在任何一台手机上点一下这个链接,就能直接“配对”该账户,拥有完全访问权限。
“Signal 辛苦搞的那些端到端加密,在那一刻全成了摆设。因为你的配对凭证,就大刺刺地躺在一个世界可读的临时文件里。”
一旦黑客进入控制界面,他不仅能看你的聊天记录,还能以你的身份行事、执行任意命令。
这已经不是泄露,这是身份与代理权的全线沦陷。
02 消息通道注入:聊天群成了黑客的“直通车”
Clawdbot 能接入飞书甚至微信等工具,这很方便,但也意味着你的信任边界瞬间扩大到了“任何能给你发消息的人”。
真实案例:“find ~ 事件”
官方文档里记了一个真实的“翻车”案例:一位“友好的测试者”在群聊里给 AI 发了个指令:find ~(列出主目录下的所有文件)。
结果这个老实的 AI 真的欣然照办,当场在群里把主人的整个文件目录结构给“刷屏”了。
那一刻,你电脑里有哪些文件夹、叫什么名字,全成了公开的秘密。
03 集成平台滥用:AI 代理是怎么变成“内鬼”的?
这是很多专业玩家最容易忽视的坑。
一旦攻击者控制了你的 Clawdbot,他们就可以利用它已有的合法授权,在你的 Slack、Jira、GitHub 上进行横向移动 。
看看这张 AI 代理的工作原理图,你就明白为什么它能成为完美的“内鬼”:
图:AI代理的工作原理,其核心是连接和操作各种外部工具
它能“听”也能“看”:它接收文本指令,还能通过截图感知你的屏幕内容 。
它能模拟人类操作:它可以自主生成行动序列(Actions),比如点击某个坐标、输入特定的字符 。
它有执行权限:所有的操作最终都会应用到你的虚拟机或物理机上 。
正如那句大实话:“连接的东西越多,攻击者对你整个数字世界的控制力就越大 。”
04 进阶实战:利用 AI-Infra-Guard 进行资产暴露自查
光说不练假把式。
为了验证“网络暴露”风险到底有多严重,我决定动手做个测试。
我使用了腾讯朱雀实验室的开源安全工具 AI-Infra-Guard,针对网络中的 Clawdbot 网关进行了一次红队扫描。
没想到 ai infra guard 已经第一时间支持了 clawdbot 这个规则的安全检测。
扫描验证结果相当震撼。
工具迅速在一个公网 IP (34.29.xx.xx) 上识别到了 Clawdbot 服务。
看到了吗? 工具直接抓取到了管理后台的界面快照,且明确标记为“未鉴权”。
这意味着,只要黑客愿意,他现在就可以接管这台机器,而你可能还在睡梦中。
05 如何安全地“驯服”这头猛兽?
效率再高,也别拿身家性命开玩笑。
我们没必要因噎废食,但如果你非要用 Clawdbot,请务必把这 5 条“保命家规”焊死在你的配置里:
1、锁死大门:绝对严禁绑定 0.0.0.0!
哪怕为了方便也不行。
必须绑定在 127.0.0.1(本地),只准自己玩 。
如果非要远程连,请走 Tailscale 或 SSH 隧道,别让它在公网上裸奔。
2、拒绝搭讪:别让 AI 谁的话都接。
聊天软件必须开启 “配对模式”(Pairing Mode),只有你钦点的人它才理 。
群聊里必须设置 “@ 机器人”才响应。(配置requireMention: true),防止它被群友的垃圾话带沟里去 。
而且要注意,为你接入的聊天应用使用备用号码,而不是你的主号。
3、立好规矩:在系统提示词里把规矩写死:“绝不分享文件目录,绝不泄露 API Key” 。
凡是涉及删文件、转账、改配置的操作,必须先问过你才能动手。
4、“分房睡”:千万别在你的主力机上跑这玩意儿!
把它扔到隔离的 Docker 沙箱、虚拟机或者一台不存密码的旧电脑上去 。
万一真炸了,也就炸个“客房”,别连累“主卧”。
5、新员工待遇:记住一句心法:把它当成第一天入职的实习生防着。
能给只读权限(Read-only)就别给读写 ,能不给 Shell 权限就不给。
一旦黑客拿到了控制权,你的限制就是最后一道防线。
写在最后:拥抱未来,但别忘了锁门
说实话,Clawdbot 的出现,确实让我们看到了未来的样子:一个 AI 能帮你搞定一切、你只负责喝咖啡的时代。
这种革命性的能力,确实酷到不行。
但尴尬的是,我们的工具进化了,安全意识却还停留在“裸奔”阶段。
正如 Medium 上那句扎心的热评所说:
“裸跑 Clawdbot,就像是给第一天入职的实习生,直接开了公司的最高 Root 权限。”
连安全专家 Jamieson 在调查结束后都忍不住感叹:
“如果连行家都会在配置上翻车,那你敢想象这对急着尝鲜的普通用户意味着什么吗?”
AI 带来的便利确实诱人,但能力越大,雷也越大。
在这个技术狂飙的草莽时代,做第一个吃螃蟹的人很酷,但千万别做第一个因为“没锁门”而丢了家底的人。
在把钥匙交给 AI 之前,请务必确认,你家真的装好防盗门了。
热门跟贴