数百个Clawdbot网关遭暴露，API密钥和私密聊天受影响

编译：代码卫士

Clawdbot作为一款迅猛发展的开源AI智能体网关，正面临日益严峻的安全隐患：目前已有超过900个未设身份验证的实例暴露在互联网上，且其代码存在多处漏洞，可能导致凭据被盗与远程代码执行后果。

Clawdbot是一款开源的个人AI助手，可集成至WhatsApp、Telegram、Slack、Discord、Signal及iMessage等主流即时通讯平台。该架构包含两个核心组件：一是负责控制平面操作的网关模块，具备WebSocket通信、工具执行及凭证管理等功能；二是基于 web 的控制界面，提供系统配置、对话历史记录及API密钥管理等可视化操作界面。

该工具可通过npm部署于Node.js ≥22环境，默认绑定本地回环地址端口18789，但支持通过Tailscale或nginx/Caddy等反向代理实现远程访问。安全研究员 Jamieson O’Reilly 在2026年1月23日通过社交媒体平台X发文详细披露了该问题，指出这款流行的开源AI智能体网关存在配置不当隐患。O’Reilly利用Shodan搜索引擎，通过控制界面独有的HTML标题标签“Clawdbot Control”进行检索，发现在实例部署后短时间内即出现数百个公开暴露的实例。

Shodan和Censys等服务会通过索引HTTP特征信息（如网站图标或特定文本片段）实现快速识别。类似扫描结果显示，目前已有超过900个网关实例在18789端口暴露，其中多数未配置身份验证机制。

虽然部分实例已启用身份验证，但其它暴露的实例中仍存在配置文件、Anthropic API密钥、Telegram/Slack令牌以及长达数月的聊天历史记录完全可被公开访问的情况。

该问题的根源在于Clawdbot身份验证逻辑中的本地主机自动放行机制。该设计本为方便本地开发，但在反向代理场景下会形成安全漏洞：代理服务器通过127.0.0.1转发流量时，由于网关配置trustedProxies默认为空数组，系统将忽略X-Forwarded-For请求头，导致所有经由代理的访问都被视作本地可信请求。

O’Reilly通过源代码分析确认：当连接地址显示为本地地址时，系统将自动授予WebSocket连接与控制界面的完全访问权限。GitHub上已有相关议题指出控制界面可能因此暴露。O’Reilly已提交安全加固补丁，当前官方文档建议将配置设为trustedProxies: ["127.0.0.1"]，并通过代理重写请求头防止地址伪造。

攻击影响

暴露的服务器可能导致严重安全后果。攻击者通过读取权限可获取全部凭据（包括API密钥、OAuth密钥）及附带文件传输记录的完整历史会话。攻击者还能继承智能体权限：发送消息、执行工具操作，甚至通过过滤响应内容来操控用户感知。部分实例以root权限的容器形式运行，使得攻击者无需身份验证即可执行任意主机命令。

Clawdbot官方文档紧急建议运行clawdbot security audit --deep命令，检测安全暴露风险，同时应严格限制私聊与群组策略权限。对于代理部署场景，必须通过CLAWDBOT_GATEWAY_PASSWORD环境变量启用gateway.auth.mode: "password" 密码验证机制，并正确配置可信代理列表。若实例已遭暴露，需立即更换所有密钥：包括身份验证令牌、模型API密钥及各通信渠道的访问凭据。

建议采用Tailscale Serve/Funnel或Cloudflare Tunnels等隧道方案替代直接端口绑定。最新发布版本（2026.1.14-1，1月15日发布）早于本次漏洞报告，需运行clawdbot doctor命令检查迁移需求。用户应立即开展安全暴露面审查。鉴于AI智能体通常关联高价值数字资产，必须加强代理安全配置并遵循最小权限默认原则。

原文链接

https://cybersecuritynews.com/clawdbot-chats-exposed/

声明：本文来自代码卫士，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。