深度预警|AIAgent门户Clawdbot安全风险:数百名用户服务暴露,敏感凭证面临清空风险

admin
admin
admin
0
文章
0
评论
2026-01-28 17:49:29 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 针对AIAgent工具Clawdbot的调查发现,因默认配置缺陷及反向代理错误,数百用户控制端暴露公网。攻击者可绕过鉴权获取API密钥及Root权限。风险源于自动批准机制误判。建议立即配置鉴权密码、加固代理策略、限制Root权限并清理敏感文件。 综合评分: 90 文章分类: 漏洞预警,AI安全,数据安全,网络安全

cover_image

深度预警 | AI Agent 门户 Clawdbot 安全风险:数百名用户服务暴露,敏感凭证面临清空风险

原创

aeverj aeverj

红队工坊

2026年1月28日 06:00 北京

概要

近期,安全研究人员针对新兴 AI Agent 网关 Clawdbot 的实际部署现状进行了调查。报告显示,由于默认安全配置缺陷及反向代理误区,数以百计的用户在部署 Clawdbot 控制端(Control UI)时将其错误地暴露在公网上。攻击者可借此获取完整的 API 密钥、个人通讯录、甚至取得托管服务器的 Root 权限

1. 暴露面分析:数以百计的用户资产陷入风险

Clawdbot 作为一款开源 AI 代理工具,因其强大的多平台集成能力而受到关注。然而,研究人员发现,大量用户在追求“24/7 AI 员工”的同时,忽略了基本的安全加固。

通过 Shodan 等空间测绘工具,研究人员利用 Clawdbot 特有的 HTML 指纹特征,在数秒内便检索到了数百名用户暴露在公网上的控制服务器。

受影响的敏感资产包括:

  • 身份凭证泄露: 暴露的配置信息中包含 Anthropic API 密钥、Telegram 机器人令牌、Slack OAuth 凭据及签名密钥。
  • 加密通讯接管: 调查发现,有用户将 Signal(高强度加密通讯软件)集成至该网关,导致其设备关联 URI(Linking URI)以明文形式存储,攻击者只需点击该链接即可接管用户的 Signal 账号。
  • 系统最高权限: 在部分实例中,攻击者通过控制台执行 whoami 指令,返回结果为 Root。这意味着容器在未进行权限隔离的情况下运行,攻击者已掌握宿主机的最高控制权。

2. 漏洞成因:反向代理下的“本地信任”误区

技术分析显示,该风险的核心在于 Clawdbot 内部的逻辑设定与现实部署环境的脱节:

  1. localhost 自动批准机制: 为了简化本地开发流程,Clawdbot 默认对来自 127.0.0.1(本地回路)的连接采取自动批准策略,无需经过挑战应答鉴权。
  2. 反向代理的“误判”: 现实中,多数用户会使用 Nginx 或 Caddy 作为反向代理来暴露服务。若未配置 trustedProxies 参数,Clawdbot 会将所有通过代理转发的外部流量识别为来自“本地”的连接。
  3. 鉴权绕过: 这种配置失误导致网关在事实上对互联网请求“敞开大门”,任何外部攻击者都被系统误认为是本地管理员。

3. 威胁模型:AI 代理对数字边界的全面冲击

Clawdbot 的案例揭示了 AI Agent 在提升效率的同时,如何从根本上改变了我们的攻击面:

  • 感知层攻击: 攻击者可以修改 Agent 的核心提示词文件(Soul.md),从而操纵 AI 对信息的感知,实现对用户的消息过滤或欺骗性回复。
  • 端到端加密的终结点: Signal 等工具的安全性建立在端到端加密基础上。但为了让 AI 理解内容,加密必须在 Agent 节点解除。一旦 Agent 暴露,所有的隐私保护均宣告失效。
  • 持久化潜伏: 由于 Agent 具有自主运行和跨平台执行工具的能力,攻击者可以利用 Agent 的身份进行长期、隐蔽的内部渗透。

4. 修复方案与安全建议

对于正在使用 Clawdbot 或类似 AI 代理基础设施的用户,建议立即执行以下操作:

  1. 明确配置鉴权: 必须设置 gateway.auth.password,严禁在公网环境依赖默认的免密逻辑。
  2. 加固代理策略: 正确定义 gateway.trustedProxies,确保网关能够准确通过 X-Forwarded-For 头部识别原始 IP,并对非受信任 IP 强制鉴权。
  3. 权限最小化: 严禁以 Root 身份运行 Agent 服务;限制 AI 可调用的系统命令范围。
  4. 敏感文件清理: 定期检查并清理 Agent 运行产生的临时文件(如 Signal 关联凭证、对话缓存等)。

结语

AI 代理是强大的“数字助手”,但其对权限的深度依赖使其成为了极其脆弱的安全单点。此次数百名用户服务的意外暴露再次提醒我们:在将“钥匙”交给 AI 之前,请务必确保房门的锁芯已经加固。

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:红队工坊 aeverj aeverj《深度预警 | AI Agent 门户 Clawdbot 安全风险:数百名用户服务暴露,敏感凭证面临清空风险》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0