Clawdbot 爆資安漏洞！數百 API 金鑰外洩 5 分鐘竊私鑰

SlowMist 發現 Clawdbot 網關暴露，數百 API 金鑰與聊天記錄可公開訪問。安全研究員 Jamieson O’Reilly 透過 Shodan 數秒找到數百暴露伺服器，可存取完整憑證。Archestra AI 執行長實測 5 分鐘提取私鑰。官方承認「沒有絕對安全」，建議嚴格 IP 白名單。

SlowMist 發現 Clawdbot 網關暴露數百憑證

網路安全研究人員對一款名為 Clawdbot 的新型人工智慧個人助理發出警告，稱其可能會無意中將個人資料和 API 金鑰暴露給公眾。週二，區塊鏈安全公司 SlowMist 表示，已發現 Clawdbot 的「網關暴露」，導致「數百個 API 金鑰和私人聊天記錄面臨風險」。「多個未經身份驗證的實例可公開訪問，並且一些代碼缺陷可能導致憑證被盜，甚至遠端程式碼執行，」它補充道。

安全研究員 Jamieson O’Reilly 最初於週日詳細介紹了調查結果，稱在過去幾天裡，「數百人將他們的 Clawdbot 控制伺服器暴露在公眾面前」。Clawdbot 是由開發者兼企業家 Peter Steinberger 開發的開源人工智慧助手，可在使用者裝置本地運行。據 Mashable 週二報道，週末期間，關於這款工具的線上討論「迅速走紅」。這種爆紅與安全漏洞的同時出現，使得大量新手用戶在不了解風險的情況下暴露了敏感資訊。

AI 代理網關將大型語言模型（LLM）連接到訊息傳遞平台，並透過名為「Clawdbot Control」的 Web 管理介面代表使用者執行命令。O’Reilly 解釋說，Clawdbot 的身份驗證繞過漏洞是由於其網關位於未配置的反向代理之後造成的。這種配置錯誤使得原本應該受密碼保護的管理介面，變成任何人都可以訪問的公開頁面。

研究人員利用 Shodan 等網路掃描工具，透過在 HTML 中搜尋獨特的指紋，可以輕鬆找到這些暴露的伺服器。他說：「搜尋『Clawdbot Control』——查詢只用了幾秒鐘。我用多個工具搜索後得到了數百條結果。」Shodan 是一個專門掃描互聯網設備的搜索引擎，安全研究人員常用它來發現配置錯誤的伺服器。當數百個 Clawdbot 實例都使用相同的 HTML 標籤和頁面標題時，透過 Shodan 搜尋這些特徵就能輕易找到所有暴露的伺服器。

該研究人員表示，他可以存取完整的憑證，例如 API 金鑰、機器人令牌、OAuth 金鑰、簽署金鑰、所有聊天平台的完整對話歷史記錄、以用戶身份發送訊息的能力以及命令執行能力。這種程度的訪問權限極為危險。API 金鑰可以被用來冒充用戶訪問各種服務，機器人令牌可以被用來控制用戶的 Telegram 或 WhatsApp 機器人，OAuth 金鑰可以訪問用戶的 Google、GitHub 等帳號。

5 分鐘提示詞注入實測竊取私鑰

人工智慧助理也可能被用於與加密資產安全相關的更邪惡的目的。Archestra AI 的執行長 Matvey Kukuy 更進一步，試圖提取私鑰。他分享了一張截圖，顯示他向 Clawdbot 發送了一封帶有提示注入的電子郵件，要求 Clawdbot 檢查電子郵件並從被攻擊的機器接收私鑰，並表示「這花了 5 分鐘」。

這個實測極具警示意義。提示詞注入（Prompt Injection）是一種針對 AI 系統的攻擊手法，攻擊者在輸入中嵌入惡意指令，誘導 AI 執行非預期的操作。在這個案例中，攻擊者只需向 Clawdbot 用戶發送一封特製的電子郵件，當 Clawdbot 自動檢查郵件時，就會執行郵件中隱藏的惡意指令。若用戶的電腦上存有加密貨幣錢包的私鑰，Clawdbot 可能會被誘導讀取這些檔案並發送給攻擊者。

5 分鐘的時間框架顯示這種攻擊的可行性極高。攻擊者不需要複雜的技術手段或長時間的準備，只需要精心設計一封郵件就能竊取私鑰。對於持有大量加密資產的用戶而言，這種風險是致命的。一旦私鑰被竊，攻擊者可以完全控制錢包並轉移所有資產，且區塊鏈交易不可逆，被盜資產幾乎無法追回。

這個案例也凸顯了賦予 AI 過高權限的危險性。Clawdbot 為了實現「全自動化助理」的願景，要求用戶給予其極廣泛的系統訪問權限。但這種設計在安全性和便利性之間的權衡過於激進，將用戶暴露在巨大的風險之下。相關報導提到的 Matcha Meta 資料外洩事件與 SwapNet 漏洞造成 1,680 萬美元損失，就是類似權限過大問題的血淋淋教訓。

Root 權限與「沒有絕對安全」的風險承認

Clawdbot 與其他智慧型 AI 機器人略有不同，因為它擁有對使用者機器的完全系統存取權限，這意味著它可以讀取和寫入檔案、執行命令、執行腳本和控制瀏覽器。這種 Root 權限等級的訪問在傳統軟體安全中是極度敏感的。通常，只有作業系統核心組件和經過嚴格審查的系統管理工具才會被授予如此高的權限。

Clawdbot 常見問題解答中寫道：「在你的機器上運行具有 shell 訪問權限的 AI 代理……很危險。沒有『絕對安全』的設定。」這種坦率的風險承認雖然值得讚許，但也揭示了該工具的本質風險。許多用戶在 X 平台看到 Clawdbot 的炫酷演示後，可能未仔細閱讀 FAQ 就匆忙安裝，完全不知道自己正在承擔何種風險。

常見問題解答還重點介紹了威脅模型，指出惡意行為者可以「試圖誘騙您的 AI 做壞事，透過社會工程手段獲取您的資料存取權限，並探測基礎設施細節」。這三種威脅都是真實且已被驗證的。提示詞注入可以誘騙 AI 執行惡意操作，社會工程可以騙取用戶授權 AI 訪問敏感資料，基礎設施探測可以為後續攻擊提供情報。

O’Reilly 建議道：「如果你正在運行代理基礎架構，請立即審核你的配置。檢查哪些內容實際暴露在互聯網上。了解你通過該部署信任了什麼，又放棄了什麼。管家很棒，只要確保他記得鎖門就行。」這個比喻精準地總結了問題的本質：Clawdbot 作為「數位管家」功能強大，但若不妥善配置安全措施，等同於讓管家忘記鎖門，任何人都可以進入你的家。

SlowMist 建議：「我們強烈建議對暴露的端口應用嚴格的 IP 白名單機制。」IP 白名單是指只允許特定 IP 地址訪問服務，其他所有訪問都被拒絕。這種措施可以有效防止陌生人訪問 Clawdbot 管理介面，即使網關配置錯誤也能提供額外的保護層。