💡
原文中文,约1200字,阅读约需3分钟。
📝
内容提要
热门AI助理Clawdbot存在安全漏洞,默认允许无认证的本地连接,易被公网VPS控制。研究人员已提交修复PR,用户应查阅安全指南以增强安全性。
🎯
关键要点
- 热门AI助理Clawdbot存在安全漏洞,默认允许无认证的本地连接。
- 如果在公网VPS上部署,Clawdbot易被控制,已被多个安全研究团队发现。
- Clawdbot的认证机制存在问题,localhost连接自动批准不需要认证。
- 通过公网扫描发现超过1000个暴露的Clawdbot实例,至少300台没有认证机制。
- Clawdbot掌握大量机密数据,暴露实例可能导致数据泄露和操控。
- 安全社区已提交PR修复漏洞,强化默认配置和代理认证。
- Clawdbot官方更新了安全指南,用户应查阅以提升安全性。
➡️
