千万别把 Clawdbot 当贾维斯！6.5万星爆红背后，你的隐私正在“裸奔”

★ 设为星标 | 只讲人话，带你玩转AIGC。

这两天，AI 圈的“神作” Clawdbot 的在 X（推特）上彻底火了。

简单来说，它就像是一个住在你电脑里的“贾维斯”：你只要动动嘴，它就能帮你发邮件、订机票、写代码，甚至能接管你的操作系统去干各种脏活累活。

甚至有人说，用它自动完成了一笔汽车交易，省了 4200 美元。

听起来是不是爽翻了？

6.5 万星的 GitHub 关注度也证明了大家对这种“全自动 Agent”有多饥渴。

但说实话，当我翻完安全专家 Jamieson 的深度调查后，后背直接冒了一层冷汗。

我们在欢呼 AI 终于进化成“管家”的时候，可能正亲手把自家的防盗门给拆了。

今天不聊那些晦涩的配置，咱们就拆解一下：这个正疯狂收割流量的“神级项目”，到底藏着多少让你睡不着觉的雷。

01 裸奔的“家门”：1300 多个控制台在公网裸奔

这是目前最触目惊心的发现。

很多用户为了省事，在配置时将网关绑定到了 0.0.0.0（对外开放）而不是默认的 127.0.0.1（仅限本地）。

结果呢？本该只有你能控制的后台，现在全世界都能逛。

安全研究员 Jamieson 和 fmdz 通过 Shodan 扫描发现，公网上竟然有超过 1000 个暴露的 Clawdbot 服务器，这里面大量服务器处于随时可能被攻击状态。

图：Shodan扫描显示超过1000个Clawdbot网关暴露在公网

fmdz 在他那条获得 130 万次浏览的帖子里发出了严厉警告：

“Clawd 灾难即将来临。如果人们继续在 VPS 上托管它，还不看文档就乱开端口且零认证……我担心很快就会发生巨大的凭证泄露事件。”

图：一个暴露在公网的Clawdbot控制面板截图（来源：X/Twitter）

真实案例：Signal 加密通讯被“一键破解”

一个真实的案例：一个自称“AI 系统工程师”的高级玩家，在他的 Clawdbot 服务器上挂了自己的 Signal（全球最安全的加密通讯软件） 账户。

结果因为服务器裸奔，攻击的人轻而易举地翻到了他的 Signal 设备链接 URI。

图：暴露的Signal设置脚本，其中包含敏感的链接信息

黑客只需要在任何一台手机上点一下这个链接，就能直接“配对”该账户，拥有完全访问权限。

“Signal 辛苦搞的那些端到端加密，在那一刻全成了摆设。因为你的配对凭证，就大刺刺地躺在一个世界可读的临时文件里。”

一旦黑客进入控制界面，他不仅能看你的聊天记录，还能以你的身份行事、执行任意命令。

这已经不是泄露，这是身份与代理权的全线沦陷。

02 消息通道注入：聊天群成了黑客的“直通车”

Clawdbot 能接入飞书甚至微信等工具，这很方便，但也意味着你的信任边界瞬间扩大到了“任何能给你发消息的人”。

真实案例：“find ~ 事件”

官方文档里记了一个真实的“翻车”案例：一位“友好的测试者”在群聊里给 AI 发了个指令：find ~（列出主目录下的所有文件）。

结果这个老实的 AI 真的欣然照办，当场在群里把主人的整个文件目录结构给“刷屏”了。

那一刻，你电脑里有哪些文件夹、叫什么名字，全成了公开的秘密。

03 集成平台滥用：AI 代理是怎么变成“内鬼”的？

这是很多专业玩家最容易忽视的坑。

一旦攻击者控制了你的 Clawdbot，他们就可以利用它已有的合法授权，在你的 Slack、Jira、GitHub 上进行横向移动 。

看看这张 AI 代理的工作原理图，你就明白为什么它能成为完美的“内鬼”：

图：AI代理的工作原理，其核心是连接和操作各种外部工具

它能“听”也能“看”：它接收文本指令，还能通过截图感知你的屏幕内容 。

它能模拟人类操作：它可以自主生成行动序列（Actions），比如点击某个坐标、输入特定的字符 。

它有执行权限：所有的操作最终都会应用到你的虚拟机或物理机上 。

正如那句大实话：“连接的东西越多，攻击者对你整个数字世界的控制力就越大 。”

04 进阶实战：利用 AI-Infra-Guard 进行资产暴露自查

光说不练假把式。

为了验证“网络暴露”风险到底有多严重，我决定动手做个测试。

我使用了腾讯朱雀实验室的开源安全工具 AI-Infra-Guard，针对网络中的 Clawdbot 网关进行了一次红队扫描。

没想到 ai infra guard 已经第一时间支持了 clawdbot 这个规则的安全检测。

扫描验证结果相当震撼。

工具迅速在一个公网 IP (34.29.xx.xx) 上识别到了 Clawdbot 服务。

看到了吗？ 工具直接抓取到了管理后台的界面快照，且明确标记为“未鉴权”。

这意味着，只要黑客愿意，他现在就可以接管这台机器，而你可能还在睡梦中。

05 如何安全地“驯服”这头猛兽？

效率再高，也别拿身家性命开玩笑。

我们没必要因噎废食，但如果你非要用 Clawdbot，请务必把这 5 条“保命家规”焊死在你的配置里：

1、锁死大门：绝对严禁绑定 0.0.0.0！

哪怕为了方便也不行。

必须绑定在 127.0.0.1（本地），只准自己玩 。

如果非要远程连，请走 Tailscale 或 SSH 隧道，别让它在公网上裸奔。

2、拒绝搭讪：别让 AI 谁的话都接。

聊天软件必须开启 “配对模式”（Pairing Mode），只有你钦点的人它才理 。

群聊里必须设置 “@ 机器人”才响应。（配置requireMention: true），防止它被群友的垃圾话带沟里去 。

而且要注意，为你接入的聊天应用使用备用号码，而不是你的主号。

3、立好规矩：在系统提示词里把规矩写死：“绝不分享文件目录，绝不泄露 API Key” 。

凡是涉及删文件、转账、改配置的操作，必须先问过你才能动手。

4、“分房睡”：千万别在你的主力机上跑这玩意儿！

把它扔到隔离的 Docker 沙箱、虚拟机或者一台不存密码的旧电脑上去 。

万一真炸了，也就炸个“客房”，别连累“主卧”。

5、新员工待遇：记住一句心法：把它当成第一天入职的实习生防着。

能给只读权限（Read-only）就别给读写 ，能不给 Shell 权限就不给。

一旦黑客拿到了控制权，你的限制就是最后一道防线。

写在最后：拥抱未来，但别忘了锁门

说实话，Clawdbot 的出现，确实让我们看到了未来的样子：一个 AI 能帮你搞定一切、你只负责喝咖啡的时代。

这种革命性的能力，确实酷到不行。

但尴尬的是，我们的工具进化了，安全意识却还停留在“裸奔”阶段。

正如 Medium 上那句扎心的热评所说：

“裸跑 Clawdbot，就像是给第一天入职的实习生，直接开了公司的最高 Root 权限。”

连安全专家 Jamieson 在调查结束后都忍不住感叹：

“如果连行家都会在配置上翻车，那你敢想象这对急着尝鲜的普通用户意味着什么吗？”

AI 带来的便利确实诱人，但能力越大，雷也越大。

在这个技术狂飙的草莽时代，做第一个吃螃蟹的人很酷，但千万别做第一个因为“没锁门”而丢了家底的人。

在把钥匙交给 AI 之前，请务必确认，你家真的装好防盗门了。