小心！Clawdbot 配置不當恐藏重大安全漏洞：有用戶加密錢包遭洗劫一空

資安專家示警，Clawdbot 閘道器因反向代理配置缺陷，若配置不當恐致重大安全風險，已有用戶加密貨幣錢包遭清空。 （前情提要：火爆全網的Clawdbot作者是誰？4年前就賺到1億歐元退休，因感到空虛才搞出2026最強AI Agent ） （背景補充：Clawdbot 封神，一個讓 Mac mini 賣斷貨的 7×24 小時 AI 管家 ）   開源的個人 AI 助手 Clawdbot 可同時在 WhatsApp、Telegram 等主流通訊軟體中與 AI 對話，加上其強大的記憶功能、資料本地儲存優勢，在本週於社群掀起討論熱潮。 不過，科技安全公司 Dvuln 創辦人 Jamieson O’Reilly 近幾天持續發文警告，如果配置不當，Clawdbot 的閘道器 (Gateway) 將存重大安全漏洞，攻擊者可輕易繞過身份驗證，取得 Root 權限。 Clawdbot 關鍵級漏洞 漏洞根源在於系統默認信任來自本地（127.0.0.1）的連接。當用戶使用 Nginx 或 Caddy 等反向代理時，所有外部流量會被誤判為受信任的本地流量，導致認證機制形同虛設。 這意味著攻擊者可直接查看包含 API Key 和 OAuth 秘密憑證的配置文件，甚至讀取用戶 Slack、Telegram、Discord、Signal 與 WhatsApp 長達數月的私聊記錄。 有用戶的加密錢包被洗劫 更令人擔憂的是，攻擊者能以 Root 權限在底層系統執行 Shell 命令，或透過「提示詞注入」誘導 AI 執行惡意指令。在 X 上已有加密貨幣用戶在安裝 Clawdbot 後，其電腦內的加密貨幣錢包資產被洗劫一空，顯示這不僅是隱私問題，更可能直接威脅用戶的資產安全。 WTF! I set up ClawdBot on my laptop and all my money is gone…??!! pic.twitter.com/qFl0TboqdZ — Sanjay (@sanjaybuilds_) January 25, 2026 專家建議：立即實施白名單與環境隔離 針對此漏洞，安全專家建議：「公網用戶應立即在端口上實施白名單策略」 具體防護措施還包括：在專用的 VPS 或虛擬機運行 Clawdbot，切勿安裝在存有私鑰的日常使用設備中；使用 Tailscale Serve 或 SSH 隧道存取，避免直接暴露於公網；同時應限制 AI 代理人的工作範圍，僅侷限於特定資料夾而非根目錄。 如果你正透過 Clawdbot 串接 Claude 或處理自動化工作，建議也檢查伺服器配置，避免成為下一個受害者；或者以上操作你聽得一頭霧水，那建議使用前一定要研究下必要的安全配置。 相關報導 Telegram 創辦人宣布「AI 算力網路 Cocoon」上線：可用 GPU 挖 TON、100% 隱私運算 馬斯克預測：3年內AI將解決38兆美元美債，20年後人類已不需要工作 李飛飛談 LLM 下一步：AI 須擁有「空間智慧」才能理解真實世界，Marble 模型如何實現？ 〈小心！Clawdbot 配置不當恐藏重大安全漏洞：有用戶加密錢包遭洗劫一空〉這篇文章最早發佈於動區BlockTempo《動區動趨-最具影響力的區塊鏈新聞媒體》。