爪鳞虫网关安全漏洞：数百API密钥面临风险

暴露的Clawdbot服务器可能导致私密对话、API密钥及机器人令牌遭全面窃取

若控制界面配置不当，攻击者可在Telegram、Discord、Slack、Signal及WhatsApp等平台冒用用户身份进行操作。

即便采用“安全”配置，若本地自动授权设置不当仍会失效。IP白名单与可信代理配置至关重要。

近期暴露的安全漏洞使数百名Clawdbot用户面临风险，公开可访问的网关与管理面板导致敏感数据处于脆弱状态。据安全公司SlowMist报告，多个Clawdbot实例存在可导致凭证窃取甚至远程代码执行的缺陷。

此次暴露涉及API密钥、机器人令牌、OAuth密钥及数月私密聊天记录。使用Clawdbot的开发人员、人工智能工程师及相关机构需立即核查部署配置，以防止未授权访问。

网关与控制界面的暴露风险

攻击者通过控制界面可读取完整配置与对话历史，跨通讯平台冒用管理员身份，篡改信息、窃取数据并远程执行指令。

部分公开暴露的实例甚至允许无需认证的根权限访问。安全专家指出：“攻击者可窃取全部凭证、获取完整对话记录、维持长期隐蔽访问，而操作者可能毫无察觉。”

许多部署采用默认认证设置，但其自动批准本地连接的关键缺陷常被反向代理误判为本地请求，导致本应安全的配置意外暴露敏感数据至互联网。研究团队强调必须通过IP白名单、网关密码认证及可信代理配置来阻断未授权访问。