隨著 AI 代理(AI Agents)從實驗性質迅速轉變為全天候運作的數碼員工,一項關於近期爆紅的開源 AI 代理網關 ClawdBot 的安全警告正引起關注。資安研究員 Jamieson O’Reilly 發現,由於配置不當,數百個 ClawdBot 控制伺服器直接暴露在互聯網上,這種疏忽並非源於高深的系統漏洞,卻讓攻擊者能輕易獲取機密憑證、私人對話,甚至在主機上執行指令,將方便的自動化工具變成了敞開的大門。
重點文章
全能數碼管家成雙面刃
Jamieson O’Reilly 將 ClawdBot 形容為一種數碼管家,它能自主管理訊息、連接多個平台、儲存 API 金鑰,並代表操作者執行各種工具。為了發揮最大效用,這類代理被設計成需要深入存取系統與通訊內容。然而當這種存取權限無意間向整個互聯網開放時,巨大的風險便隨之而來。在多個被觀察到的案例中,ClawdBot 的網頁管理介面(Control UI)在缺乏適當身份驗證的情況下直接暴露,這意味著任何發現該介面的人都能長驅直入,接管這個擁有多種權限的智能中樞。
私隱對話與系統權限全曝光
根據分析顯示,攻擊者一旦進入這些暴露的介面,後果不堪設想。他們不僅能查看包含 API 金鑰和 OAuth 秘密憑證的完整配置文件,還能閱讀跨越 Slack、Telegram、Signal、Discord 和 WhatsApp 等平台長達數月的私人對話記錄。更令人擔憂的是,攻擊者可以冒充擁有者發送訊息,甚至以 Root 權限在底層系統上執行指令。在一個特別驚人的例子中,Signal 的配對憑證被遺留在臨時文件中,導致原本安全的端對端加密形同虛設,因為端點本身已遭攻陷。
反向代理配置陷阱成元兇
造成此問題的根源並非未知的零日漏洞,而是典型的反向代理安全陷阱。雖然 ClawdBot 內建了穩固的加密認證機制,但預設會自動批准本地連線。當服務部署在 Nginx 或 Caddy 等常見反向代理後方且位於同一台機器時,所有傳入流量在系統看來都源自 127.0.0.1。結果導致遠端用戶在未經額外加固的情況下,被誤認為受信任的本地連線。雖然 Jamieson O’Reilly 已經提交了修復建議,但這反映了開發環境中合理的安全假設,在實際部署時往往會發生災難性的失效。
AI 代理崛起下的安全新挑戰
這次事件不僅是單一工具的漏洞,更凸顯了運算架構的結構性轉變。AI 代理將憑證、對話、執行權和長期記憶集中在單一系統中,這種權力集中使其成為極具吸引力的攻擊目標,傳統的最小權限與沙盒安全模型在此顯得格格不入。若你正在運行 ClawdBot 或類似架構,應立即審核公開存取的服務,確保管理介面有嚴格認證,並在使用反向代理時正確配置受信任設定。AI 代理的應用已是不可逆的趨勢,但在享受這位數碼管家帶來的便利時,你必須確保大門已經鎖好。
