文章总结： Clawdbot开源AI智能体网关存在严重配置隐患，超900个实例因身份验证逻辑缺陷及反向代理配置不当暴露在互联网上。攻击者可无认证访问API密钥、私密聊天记录并执行远程代码。官方建议立即运行安全审计、配置可信代理列表及密码验证，并更换所有密钥以防范风险。 综合评分： 88 文章分类： 漏洞分析,威胁情报,应急响应

数百个 Clawdbot 网关遭暴露，API密钥和私密聊天受影响

Guru Baran Guru Baran

代码卫士

2026年1月27日 17:48 北京

  聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

Clawdbot作为一款迅猛发展的开源AI智能体网关，正面临日益严峻的安全隐患：目前已有超过900个未设身份验证的实例暴露在互联网上，且其代码存在多处漏洞，可能导致凭据被盗与远程代码执行后果。

Clawdbot是一款开源的个人AI助手，可集成至WhatsApp、Telegram、Slack、Discord、Signal及iMessage等主流即时通讯平台。该架构包含两个核心组件：一是负责控制平面操作的网关模块，具备WebSocket通信、工具执行及凭证管理等功能；二是基于 web 的控制界面，提供系统配置、对话历史记录及API密钥管理等可视化操作界面。

该工具可通过npm部署于Node.js ≥22环境，默认绑定本地回环地址端口18789，但支持通过Tailscale或nginx/Caddy等反向代理实现远程访问。安全研究员 Jamieson O’Reilly 在2026年1月23日通过社交媒体平台X发文详细披露了该问题，指出这款流行的开源AI智能体网关存在配置不当隐患。O’Reilly利用Shodan搜索引擎，通过控制界面独有的HTML标题标签“Clawdbot Control”进行检索，发现在实例部署后短时间内即出现数百个公开暴露的实例。

Shodan和Censys等服务会通过索引HTTP特征信息（如网站图标或特定文本片段）实现快速识别。类似扫描结果显示，目前已有超过900个网关实例在18789端口暴露，其中多数未配置身份验证机制。

虽然部分实例已启用身份验证，但其它暴露的实例中仍存在配置文件、Anthropic API密钥、Telegram/Slack令牌以及长达数月的聊天历史记录完全可被公开访问的情况。

该问题的根源在于Clawdbot身份验证逻辑中的本地主机自动放行机制。该设计本为方便本地开发，但在反向代理场景下会形成安全漏洞：代理服务器通过127.0.0.1转发流量时，由于网关配置trustedProxies默认为空数组，系统将忽略X-Forwarded-For请求头，导致所有经由代理的访问都被视作本地可信请求。

O’Reilly通过源代码分析确认：当连接地址显示为本地地址时，系统将自动授予WebSocket连接与控制界面的完全访问权限。GitHub上已有相关议题指出控制界面可能因此暴露。O’Reilly已提交安全加固补丁，当前官方文档建议将配置设为trustedProxies: [“127.0.0.1”]，并通过代理重写请求头防止地址伪造。

攻击影响

暴露的服务器可能导致严重安全后果。攻击者通过读取权限可获取全部凭据（包括API密钥、OAuth密钥）及附带文件传输记录的完整历史会话。攻击者还能继承智能体权限：发送消息、执行工具操作，甚至通过过滤响应内容来操控用户感知。部分实例以root权限的容器形式运行，使得攻击者无需身份验证即可执行任意主机命令。

| | | | | — | — | — | | 访问类型 | 受陷资产 | 利用示例 | | 配置读取 | API 密钥、机器人令牌、签名机密 | Anthropic、Telegram、Slack 凭据盗取 | | 会话历史 | 私密信息、文件 | 提取数月数据 | | 命令执行 | Root shell 访问 | 配对攻击者的电话，获得完整访问权限 | | 信号集成 | 设备链接URI | 配对攻击者的电话，获得完整访问权限 |

Clawdbot官方文档紧急建议运行clawdbot security audit –deep命令，检测安全暴露风险，同时应严格限制私聊与群组策略权限。对于代理部署场景，必须通过CLAWDBOT_GATEWAY_PASSWORD环境变量启用gateway.auth.mode: “password” 密码验证机制，并正确配置可信代理列表。若实例已遭暴露，需立即更换所有密钥：包括身份验证令牌、模型API密钥及各通信渠道的访问凭据。

建议采用Tailscale Serve/Funnel或Cloudflare Tunnels等隧道方案替代直接端口绑定。最新发布版本（2026.1.14-1，1月15日发布）早于本次漏洞报告，需运行clawdbot doctor命令检查迁移需求。用户应立即开展安全暴露面审查。鉴于AI智能体通常关联高价值数字资产，必须加强代理安全配置并遵循最小权限默认原则。

开源卫士试用地址：https://oss.qianxin.com/#/login

代码卫士试用地址：https://sast.qianxin.com/#/login

推荐阅读

在线阅读版：《智能网联汽车云平台漏洞分析报告》全文

奇安信斩获首届CCF智能汽车大赛“汽车安全攻防赛”一等奖

《2025中国软件供应链安全报告》发布：大模型、智能网联车风险亟待重视

JumpCloud 远程助手漏洞可导致系统遭接管

Windows 快速助手中存在严重漏洞 可导致敏感文件被盗

原文链接

Hundreds of Exposed Clawdbot Gateways Leave API Keys and Private Chats Vulnerable

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 “赞” 吧~

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：代码卫士 Guru Baran Guru Baran《数百个 Clawdbot 网关遭暴露，API密钥和私密聊天受影响》