文章总结： Clawdbot因反向代理配置错误导致认证绕过，致使数千实例公网裸奔，攻击者可窃取数据。此外，伪装成该工具的恶意VSCode扩展利用真实功能掩护木马植入。建议用户修正部署配置并核实扩展开发者身份，防范相关安全威胁。 综合评分： 90 文章分类： 威胁情报,恶意软件,安全意识,漏洞分析

“AI网红”Clawdbot数千个Agent暴露在公网“裸奔”|恶意VS Code扩展“ClawdBot Agent”伪装AI助手传播木马

黑白之道

2026年2月5日 09:18 山东

当前流行的AI助手工具Clawdbot正在社交媒体上快速扩散，众多用户通过Mac mini硬件进行部署。但该工具同样适用于容器化环境或虚拟专用服务器(VPS)，而默认配置往往会导致服务暴露在公共互联网上。

虽然全球可达性让用户能从任何地点访问Clawdbot，但大量用户未能实施严格的安全协议。这一疏忽使得众多实例直接暴露于外部探测之下——事实上，安全研究团体已发现多个毫无防护的Clawdbot节点正在运行。

Clawdbot作为”数字管家”拥有广泛权限，通常存储着大量第三方服务的凭证。因此，未受保护且暴露的实例就像透明通道，攻击者可借此窃取敏感用户数据。O’Reilly网络安全社区的调查显示，目前有超过1000个实例可通过公开扫描访问，其中至少300个完全没有任何认证机制。

Part01

漏洞根源：认证逻辑与部署模式的交互问题

该漏洞的核心在于Clawdbot认证逻辑与部署模式之间的交互问题。控制界面采用加密设备标识和挑战-响应协议，但在默认本地开发配置中，来自localhost的连接会被自动批准而无需进一步验证。

当用户转向使用NGINX或Caddy作为反向代理的生产环境时，所有传入流量看似都来自127.0.0.1。这一架构特性导致外部请求被错误归类为本地流量，从而绕过认证并允许执行任意命令。

Part02

潜在危害：数据泄露与系统操控

考虑到Clawdbot管理的海量机密遥测数据，被攻陷的实例可使攻击者通过提示注入、响应篡改或通过集成通道未经授权窃取数据等方式操控Agent。随着Agent被授予的系统权限级别提升，风险呈比例上升。

Part03

安全建议与修复措施

安全社区已提交Pull Requests(PR)来强化默认配置并增强代理感知认证功能。Clawdbot官方文档也已更新，强调严格的安全准则。当前托管Clawdbot实例的用户应立即查阅最新安全规范以加强防御。

参考来源：

Lock the Front Door: The “Localhost” Loophole Leaving Thousands of Clawdbot Agents Exposed

Lock the Front Door: The “Localhost” Loophole Leaving Thousands of Clawdbot Agents Exposed

AI编程助手的流行正吸引新型网络攻击者。2026年1月27日，Aikido Security安全研究员Charlie Eriksen发现一款伪装成热门工具”ClawdBot”的恶意Visual Studio Code扩展。这款名为”ClawdBot Agent”的扩展在看似提供AI辅助功能的表象下，暗中向开发者设备投放恶意软件。

Part01

利用AI热潮的精准伪装

该事件凸显攻击者正利用新兴AI工具的热度实施欺诈。”如果你近期关注AI领域，应该到处都能看到ClawdBot的讨论，”报告指出，”这自然使其成为仿冒攻击的首选目标”。

此次攻击的特殊危险性在于其精心设计的欺骗性。与常见低质量诈骗不同，这款恶意扩展确实具备宣称的功能。”仿冒扩展看起来极其逼真，”报告描述道，”专业图标、精致界面、集成七家AI服务商…它甚至能如广告所述正常工作，这正是其危险所在。”

Part02

双重功能的木马程序

通过调用OpenAI、Anthropic和Google的真实API实现编程辅助功能，该木马在后台运行时成功麻痹了受害者警惕性。”我们确认该扩展是功能完整的木马程序：表面是正常的AI编程助手，当VS Code启动时就会在Windows设备静默植入恶意软件。”

攻击链涉及下载伪装成截图工具Lightshot.exe或名为Code.exe的Electron程序包。但基础设施分析显示，这些文件名只是高级投放器的伪装。”注意到有趣细节了吗？硬编码的备用方案仍引用Lightshot.exe和Lightshot.dll…表明攻击者可能持续迭代了攻击载荷。”Eriksen指出。

Part03

精心设计的C2基础设施

调查发现恶意软件的C2（命令与控制）通信指向可疑域名darkgptprivate[.]com，该域名由塞舌尔的Omegatech LTD注册于攻击发生前数周。攻击者还构建了冗余架构：使用Cloudflare隐藏主服务器(clawdbot.getintwopc[.]site)，并设置备用机制。”主C2失效时有备用方案，Node.js失败时转用PowerShell…攻击者做足了准备。”

Part04

及时遏制的安全事件

所幸该恶意扩展被早期发现。”我们立即向微软报告，其响应迅速下架了该扩展。”报告确认。下架时仅记录21次安装，影响范围有限。但该事件向开发者发出明确警示：在AI工具淘金热中，安装前务必核实开发者身份。正如报告结论：”真正的Clawdbot团队从未发布官方VS Code扩展，攻击者只是抢先占用了这个名称。”

参考来源：

Fake AI Assistant: Malicious “ClawdBot” Extension Hides Trojan in VS Code

Fake AI Assistant: Malicious “ClawdBot” Extension Hides Trojan in VS Code

文章来源：FreeBuf

黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途及盈利等目的，否则后果自行承担！

如侵权请私聊我们删文

END

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：黑白之道 《“AI网红”Clawdbot数千个Agent暴露在公网“裸奔”|恶意VS Code扩展“ClawdBot Agent”伪装AI助手传播木马》