🚨 紧急警示:Clawdbot AI 助手爆出重大漏洞 — 你的 API 密钥和私钥正面临风险!
最近火遍全网的开源 AI 助手 Clawdbot 被曝存在严重安全漏洞。SlowMist(慢雾)和 Archestra AI 的专家发出警告:由于配置不当,数百名用户的敏感数据已暴露在公网。
核心风险点:
API 密钥泄露: 攻击者通过 Shodan 等工具即可轻松扫描出公开的 Clawdbot 控制面板,获取你的 API 密钥、Bot Token 和 OAuth 凭据。私钥被盗: Archestra AI CEO 证实,通过“提示词注入”(Prompt Injection)攻击,仅需 5 分钟即可获取用户的钱包私钥。远程代码执行 (RCE): 漏洞允许黑客远程接管你的服务器并以你的名义发送消息。
漏洞成因:
Clawdbot Gateway 在未经配置的反向代理下运行时,会绕过身份验证。攻击者只需通过简单的 HTML 指纹搜索,就能接管你的整个 AI 基础设施。
立即采取行动:
检查服务器配置: 确保你的 Clawdbot 控制面板不直接暴露在互联网上。设置 IP 白名单: 对开放端口实施严格的访问控制。更换密钥: 如果你已使用过该工具,请立即更换所有 API 密钥,并将加密资产转移到安全的新钱包中。
在享受 AI 带来的便利时,切记安全第一!尤其是这种刚走红的“实验性”本地软件。🛡