【古法安全测试VS现代化安全测试】火爆欧美的Clawdbot用来做安全测试效果如何?

admin
admin
admin
0
文章
0
评论
2026-01-29 10:35:29 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 本文测试了本地AI工具ClawdBot在IoT固件分析与Java代码审计中的效果。实验表明,尽管其具备人机协作优势,但在效率与准确性上存在不足,且耗时较长。作者认为随着大模型能力提升,AI取代人工安全测试的趋势日益明显,并建议关注成本更优的AI平台以提升测试效率。 综合评分: 45 文章分类: AI安全,代码审计,漏洞分析,安全工具

cover_image

【古法安全测试VS现代化安全测试】火爆欧美的Clawdbot用来做安全测试效果如何?

安全透视镜 安全透视镜

网络安全透视镜

2026年1月29日 08:03 新加坡

近日,一款名为ClawdBot的产品在全球技术圈掀起热潮,从X、Reddit到中文技术社区,处处可见它的身影。

什么是ClawdBot?

前两天还叫ClawdBot,现在已经改名叫Moltbot了

官网地址:https://clawd.bot/

ClawdBot的创作者Peter在介绍中强调,这原本只是一个“生活助理”项目——通过WhatsApp发送消息,转到Claude Code处理,再将结果返回。

但真正让技术圈沸腾的是它革命性的人机协作模式

  • 运行在用户自己的环境中(本地电脑或个人服务器)
  • 交互方式回归熟悉的聊天软件,如同与同事交谈般自然
  • 拥有完整操作权限与超长记忆,成为真正意义上的个人专属AI
  • 数据完全由用户掌控,无需担心隐私泄露

随着ClawdBot走红,Mac Mini甚至成了“理财产品”,很多先行者大量购入专门运行ClawdBot。

既然用于安全测试相关,我觉得Linux系统可能更适合它。

Ubuntu系统安装教程

一条命令即可安装

SHARP_IGNORE_GLOBAL_LIBVIPS=0 curl -fsSL https://molt.bot/install.sh | bash

当然安装的过程中需要一些交互,比如输入密码,进行配置等。这里我花了一些钞能力,用的是号称超过GPT-5.2的GLM 4.7,

GLM新用户注册可获得2000万token,注册链接:

https://www.bigmodel.cn/invite?icode=StwfmuPZ8qY0HhijEkG9Z0jPr3uHog9F4g5tjuOUqno%3D

固件安全测试

测试固件为:

RB-1732_TC_v2.0.43.bin

这玩意是 SAPIDO 公司开发的一款家用路由器,其 RB-1732 系列 v2.0.43 之前的固件版本存在一处命令执行漏洞。

提示词:

你是一位物联网固件安全专家,帮我分析一下/home/iot/tools/Testfirewall 目录下固件:RB-1732_TC_v2.0.43.bin ,是否存在漏洞

反正是一通分析

最后给出的报告还是偏向硬编码,这也是很多AI分析的问题。

换个提示词试试

请继续分析 /home/iot/tools/Testfirewall 目录下固件:RB-1732_TC_v2.0.43.bin ,是否存在未授权访问,命令执行漏洞。如果存在请给出具体代码位置以及复现的poc

这有个问题,会一直卡在这个地方,需要等分析完成后才会一下给出全部执行结果

分析的内容挺多的,直接看报告

对比利用Kimi-K2-thinking+VSCode+IDA PRO MCP方式,隔壁Clawdbot漏洞都出来了,这个呆逼还在循环的检测环境。

这像话吗?人家买了有色股票都连续几个涨停板,你还在分析金银涨跌逻辑,预测什么是崩盘套一堆人。

代码审计

审计若依管理系统,版本4.8.2

提示词:

你是一名Java安全代码审计专家,任务如下:审计以下/home/iot/JavaCode/RuoYi-4.8.2下的 Java 项目代码,识别所有潜在的 web 安全漏洞。输出要求:最后输出一份漏洞报告,包含漏洞类型、漏洞代码位置,复现验证漏洞的POC

然后,又是一个漫长的过程

VSCode 有点问题,不用这个垃圾。为了对比,我直接用trae 中的GPT-5.2 Code

消耗的token会很大

这一次没想到trae+GPT-5.2 Codex最先给出结果,看看给的都是什么东西,完全是个废物

单独提示,好像也没什么。

最后还是没找到漏洞

Clawdbot最后运行了一个多小时,还没有运行完

两个多小时后,给出漏洞报告

当然这些漏洞我也没去验证,有兴趣的可以自己试试

渗透测试

必然是个漫长的过程,你们自己去搞吧,我懒得测试。

随着AI大模型本身推理能力的提升,再加上MCP  Agent Skills等应用,越来越多的AI会应用在日常工作中。对比传统人工安全测试,AI的应用让工作效率完全翻倍。

一年前我还认为AI取代人工做安全测试不现实,但现在看来,这一天越来越近了。

官方的API又比较贵,能少花钱尽量少花钱。

GLM新用户注册可获得2000万token,注册链接:

https://www.bigmodel.cn/invite?icode=StwfmuPZ8qY0HhijEkG9Z0jPr3uHog9F4g5tjuOUqno%3D

同时推荐可白嫖的的AI平台

https://0v0.pro/

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:网络安全透视镜 安全透视镜 安全透视镜《【古法安全测试VS现代化安全测试】火爆欧美的Clawdbot用来做安全测试效果如何?》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0