热门AI助理项目Clawdbot存在安全缺陷 在VPS上部署可能直接暴露实例泄露数据
热门 AI 助理项目 Clawdbot 存在安全缺陷,如果部署在公网 VPS 上很容易被控制,目前已经有研究人员提交 PR 修复漏洞。根本原因在于 Clawdbot 默认对本地连接全部放行不需要认证,如果在公网服务器部署且使用 NGINX 或 Caddy 反代,那所有流量来自 localhost 或 127.0.0.1 也会被视为本地流量不需要认证。
热门 AI 助理工具 Clawdbot 目前正在社交媒体上热传,已经有很多用户通过购买的 Mac Mini 部署,但本身该工具也可以通过容器或者 VPS 服务器部署,而在 VPS 服务器上部署默认是可以通过公网连接的。
通过公网连接的 Clawdbot 可以在任意位置连接访问,问题在于部分用户并未部署安全策略导致 Clawdbot 直接暴露在互联网上,已经有安全研究团队扫描到多个暴露在公网上的 Clawdbot。
Clawdbot 本身就像个高门大宅的管家,管家拥有多种服务的访问权限,用户可能还需要向管家授予各种服务的密码,因此在 Clawdbot 暴露且没有设置安全门槛的情况下,其他人可以通过 Clawdbot 获取用户的多种数据。
网络安全社区 O Reilly 调查发现,许多部署 Clawdbot 的实例直接暴露在互联网上且不需要认证即可访问,通过公网扫描已经发现超过 1000 个暴露的实例,至少有 300 台实例没有任何认证机制。
漏洞核心在于 Clawdbot 的认证机制和部署模式,Control UI 采用加密设备身份验证和挑战 – 响应协议,在本地开发默认配置下,localhost 连接自动批准不需要进行任何认证。
而在生产环境中不少用户使用 NGINX 或 Caddy 作为反向代理,所有连接均来自 127.0.0.1,这导致外部流量也会被视为本地,因此不需要进行认证即可执行任意操作。
由于 Clawdbot 掌握的机密数据太多,如果有人找到暴露的实例就可以直接进行操纵,例如注入提示、修改响应或者通过集成渠道泄露数据,用于授予的权限越多潜在风险也越大。
目前安全社区已经提交 PR 进行修复,主要是强化默认配置和代理认证,Clawdbot 官方支持文档也已经更新并强调安全指南,部署 Clawdbot 的用户应当检查最新安全指南提升安全性。
报告原文:https://x.com/theonejvo/status/2015401219746128322
合并的 PR:https://github.com/clawdbot/clawdbot/pull/1795
查看安全指南:https://docs.clawd.bot/gateway/security
通过公网连接的 Clawdbot 可以在任意位置连接访问,问题在于部分用户并未部署安全策略导致 Clawdbot 直接暴露在互联网上,已经有安全研究团队扫描到多个暴露在公网上的 Clawdbot。
Clawdbot 本身就像个高门大宅的管家,管家拥有多种服务的访问权限,用户可能还需要向管家授予各种服务的密码,因此在 Clawdbot 暴露且没有设置安全门槛的情况下,其他人可以通过 Clawdbot 获取用户的多种数据。
网络安全社区 O Reilly 调查发现,许多部署 Clawdbot 的实例直接暴露在互联网上且不需要认证即可访问,通过公网扫描已经发现超过 1000 个暴露的实例,至少有 300 台实例没有任何认证机制。
漏洞核心在于 Clawdbot 的认证机制和部署模式,Control UI 采用加密设备身份验证和挑战 – 响应协议,在本地开发默认配置下,localhost 连接自动批准不需要进行任何认证。
而在生产环境中不少用户使用 NGINX 或 Caddy 作为反向代理,所有连接均来自 127.0.0.1,这导致外部流量也会被视为本地,因此不需要进行认证即可执行任意操作。
由于 Clawdbot 掌握的机密数据太多,如果有人找到暴露的实例就可以直接进行操纵,例如注入提示、修改响应或者通过集成渠道泄露数据,用于授予的权限越多潜在风险也越大。
目前安全社区已经提交 PR 进行修复,主要是强化默认配置和代理认证,Clawdbot 官方支持文档也已经更新并强调安全指南,部署 Clawdbot 的用户应当检查最新安全指南提升安全性。
报告原文:https://x.com/theonejvo/status/2015401219746128322
合并的 PR:https://github.com/clawdbot/clawdbot/pull/1795
查看安全指南:https://docs.clawd.bot/gateway/security
关于作者
评论0次