慢霧：Clawdbot網關暴露風險，數百個API密鑰和私聊記錄易受攻擊

風險概述

慢霧首席信息安全官23pds發佈提醒稱，Clawdbot網關存在暴露風險，數百個API密鑰和私聊記錄易受攻擊。未經身份驗證的實例暴露在互聯網上，且存在多個代碼缺陷，可能導致憑證竊取和遠程代碼執行。

具體問題

• 至少900個Clawdbot網關暴露在公網，且無需任何身份驗證即可被訪問。
• 存在提示注入漏洞、遠程代碼執行（RCE）風險、API密鑰管理問題及硬編碼OAuth憑據等安全缺陷。
• 已有安全審計披露了512個安全問題，顯示項目存在極其嚴重的安全風險。

潛在影響

一旦配置不當，用戶等於把一臺“可執行任意命令的AI電腦”暴露在公網，可能被惡意利用，導致敏感數據洩露或系統被控制。

安全建議

建議用戶避免授予後端密鑰訪問權限，並使用新賬戶、臨時手機號及獨立密碼管理器以降低黑客風險。

來源：https://www.panewslab.com/zh/articles/2f910026-ea35-41d3-8f5d-0a67a7c50c50