网络安全机构近日对一款名为 Clawdbot 的开源人工智能个人助手发出安全警示，称其在配置不当的情况下可能将个人数据和各类访问凭证暴露在公共网络环境中。

周二，区块链安全公司 SlowMist 表示，在对 Clawdbot 相关基础设施进行排查时，发现其存在“网关暴露”问题，导致“数百个 API 密钥和私人聊天记录面临风险”。该公司称，多个未进行身份认证保护的实例可被公开访问，同时还发现若干代码缺陷，可能被利用窃取凭证，甚至触发远程代码执行。

此前，安全研究员 Jamieson O'Reilly 已于周日首次详细披露相关情况。他表示，在过去几天内，“数百人将其 Clawdbot 控制服务器暴露于公共网络”，从而为潜在攻击创造条件。

Clawdbot 由开发者兼企业家 Peter Steinberger 开发，是一款在用户本地设备上运行的开源 AI 助手。根据科技媒体 Mashable 周二的报道，关于这一工具的讨论在刚刚过去的周末在网络上迅速传播，引发广泛关注。

网关暴露导致控制面板可被扫描

公开信息显示，Clawdbot 通过一个 AI 代理网关，将大型语言模型（LLM）与各类消息平台连接起来，并通过名为“Clawdbot Control”的网页管理界面代表用户执行命令。

O'Reilly 介绍称，当 Clawdbot 网关部署在未正确配置的反向代理之后时，可能出现认证绕过漏洞，使得原本应受保护的控制界面暴露在互联网上。

他表示，利用 Shodan 等互联网扫描工具，通过搜索网页 HTML 中的特征指纹，即可快速定位这些暴露的服务器。“搜索‘Clawdbot Control’——查询仅用数秒。我通过多种工具获得了数百条结果，”O'Reilly 称。

据其描述，在部分暴露实例中，研究人员能够直接访问完整凭证信息，包括 API 密钥、机器人令牌、OAuth 密钥、签名密钥、所有聊天平台的完整对话历史，以及以用户身份发送消息和执行命令的能力。

O'Reilly 呼吁正在运行相关代理基础设施的用户立即审查自身配置，检查实际暴露在互联网上的内容，并明确当前部署所依赖的信任边界和潜在代价。他将 Clawdbot 比作“聪明的管家”，并指出需要确保“他记得锁门”。

私钥提取测试用时约五分钟

除聊天记录和访问凭证外，研究人员还指出，Clawdbot 的能力可能被用于更具破坏性的用途，尤其涉及加密资产安全。

Archestra AI 首席执行官 Matvey Kukuy 在此基础上进一步进行了测试，尝试从目标环境中提取私钥。他分享的截图显示，其通过提示注入方式向 Clawdbot 发送电子邮件，请求该助手检查邮件并从被利用的机器中获取私钥。据其称，整个过程“只用了 5 分钟”。

相关描述显示，Clawdbot 与部分其他代理类 AI 机器人不同之处在于，它拥有对用户机器的完全系统访问权限。这意味着该助手可以读取和写入文件、运行命令、执行脚本并控制浏览器，从而在配置不当或被恶意利用时放大潜在风险。

在 Clawdbot 的常见问题解答（FAQ）中，开发方也提到安全风险，称“在你的机器上运行具有 shell 访问权限的 AI 代理是……刺激的。没有‘完美安全’的设置。”FAQ 同时列出了威胁模型，指出潜在的恶意行为者可能“试图诱骗你的 AI 做坏事，进行社会工程攻击以获取你的数据，并探查基础设施细节”。

针对当前暴露情况，SlowMist 建议，对相关部署的暴露端口实施严格的 IP 白名单控制，以降低未授权访问的可能性。