文章总结： 研究发现全球近千个Clawdbot实例因配置错误暴露于公网，该AI工具拥有Shell执行等高危权限，面临RCE与数据窃取风险。建议立即排查端口，优先部署零信任隧道或在反向代理层强制鉴权，切勿直接开放端口。 综合评分： 92 文章分类： AI安全,漏洞预警,威胁情报,解决方案,安全建设

Clawdbot 实例大规模暴露风险分析

原创

mayfly mayfly

独眼情报

2026年1月26日 13:46 湖北

近日，安全研究人员通过 Shodan 扫描发现，全球范围内有近千个 Clawdbot 实例的控制网关直接暴露于公网。由于该工具具有极高的系统权限且大量实例处于无认证状态。

1. 核心风险：发生了什么？

事件源起通过 Shodan 搜索引擎检索到了 999 个直接暴露的 Clawdbot 实例。这些实例主要分布于美国（169个）、中国（93个）及欧洲部分国家。

暴露特征

• 端口：18789/tcp（Clawdbot 默认网关端口）。
• 指纹信息：服务横幅（Banner）中包含 role=gateway、gatewayPort=18789，甚至泄露了具体的系统路径（如 /home/clawdbot/...）。
• 核心漏洞：绝大多数暴露实例未启用任何身份验证机制。攻击者可能无需凭证，直接连接 WebSocket 即可接管控制权。

2. 技术背景：Clawdbot 是什么？

Clawdbot 是一款基于 Anthropic Claude 模型构建的开源 AI 代理（Agent）工具。其设计初衷是作为「始终在线」的 24/7 智能助手，具备极高的自主权。

功能权限（即攻击面）：Clawdbot 不仅仅是一个聊天机器人，它是一个具备系统级操作权限的代理：

• 浏览器自动化：由于其核心功能依赖浏览器操作，它通常持有用户的各类已登录会话（Session Cookies）。
• Shell 执行：可直接运行系统终端命令。
• 文件系统读写：可访问服务器或本地计算机的文件。

3. 深度分析：为何会出现大规模暴露？

通常官方文档建议将服务绑定在 127.0.0.1，但在实际部署中，以下两种配置错误导致了防线崩溃：

A. 粗暴的端口放行（用户侧配置错误）

许多用户为了实现「远程控制」，直接在 VPS 的防火墙（UFW/iptables）或云服务商的安全组中放行了 18789 端口，却未在应用层配置对应的身份验证。

B. 反向代理信任漏洞（潜在的设计缺陷）

这是一个更隐蔽且危险的技术陷阱。

• 现象：用户使用了 Nginx 或 Caddy 进行反向代理，认为这样更安全。
• 机制：Clawdbot 的网关逻辑可能默认信任来自 localhost 的请求。当流量经过反向代理转发时，Clawdbot 看到的源 IP 往往是本机的 127.0.0.1（即代理服务器的 IP）。
• 后果：系统误以为请求来自本机，从而自动绕过身份验证，导致外部攻击者通过代理直接获得管理员权限。

4. 威胁建模：后果有多严重？

一旦攻击者连接到暴露的 WebSocket 端口，后果将不仅仅是「泄露对话记录」：

| 风险等级 | 攻击向量 | 潜在后果 | | — | — | — | | P0 (高危) | RCE (远程代码执行) | 攻击者可通过 Agent 执行 Shell 命令，完全接管服务器，植入挖矿木马或勒索软件。 | | P0 (高危) | 凭证窃取 | 窃取浏览器中保存的 Cookie（如 GitHub、Gmail、银行账户）及环境变量中的 API Keys。 | | P1 | 数据外泄 | 扫描并下载服务器上的私密文件（配置文件、SSH 密钥、数据库文件）。 | | P2 | 跳板攻击 | 利用被攻陷的节点作为代理，向内网其他设备发起横向攻击，或作为僵尸网络发动 DDoS。 |

5. 防御与加固指南

针对当前风险，建议所有 Clawdbot 用户立即执行以下操作：

✅ 紧急排查

1. 检查公网暴露：使用非本机网络访问 http://<你的IP>:18789，如果能直接连接，说明由于裸奔。
2. Shodan 自查：搜索自身 IP 是否被收录。

🛡️ 正确的部署方案

方案一：Zero-Trust 隧道（推荐）不要开放物理端口。使用 Cloudflare Tunnel (cloudflared) 或 Tailscale。

• 优点：无需公网 IP，无需开放端口，且 Cloudflare Access 可提供额外的身份验证层（如邮件验证码）。

方案二：强制身份验证 + 反向代理如果必须使用 Nginx/Caddy：

1. 在反向代理层强制开启 Basic Auth 或 JWT 验证。
2. 关键配置：确保 Clawdbot 配置文件中强制要求 Auth Token，即使请求看似来自 Localhost 也不应自动信任。

❌ 绝对禁止

• 禁止在云服务器安全组中直接对 0.0.0.0/0 开放 18789 端口。

结语

Clawdbot 事件是 AI Agent 时代的一个典型安全样本。随着 AI 工具从「对话框」走向「执行层」，赋予 Agent 的权限越高，其安全配置的容错率就越低。便利性不应以牺牲安全性为代价——对于拥有 Shell 权限的工具，默认拒绝（Deny by Default）应是唯一的配置准则。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：独眼情报 mayfly mayfly《Clawdbot 实例大规模暴露风险分析》