关于终端智能体平台ClawdBot安全风险

的预警通报

     据上级网信部门通报，Clawdbot作为当前最流行的AI智能体平台之一，其架构设计在功能强大性与安全性之间存在严重失衡，存在较大安全风险。

    请各部门、各院系排查Clawdbot应用的使用情况，学校办公电脑、服务器不得部署使用该终端智能体应用，学生如进行相关测试研究活动，需确保部署环境安全，不得接入校园网；采取网络隔离、强制认证、最小权限控制等加固措施，做好风险防范。

    附件：关于终端智能体平台ClawdBot安全风险的情况通报

关于终端智能体平台ClawdBot

安全风险的情况通报

      Clawdbot作为当前最流行的AI智能体平台之一，其架构设计在功能强大性与安全性之间存在严重失衡。核心风险集中在公网暴露的默认端口（18789）缺乏认证保护、明文存储的敏感凭证（API密钥、数据库密码、通讯令牌）等。

一、事件概述

      2026年初，随着人工智能技术从被动的大语言模型向具有自主行动能力的“代理式人工智能”（Agentic AI）演进，一款名为ClawdBot（后因商标问题更名为Moltbot）的开源终端智能体应用在国内外迅速流行。该工具采用“本地优先”架构，可部署于用户个人硬件（如Mac Mini）上，并被授予了包括文件系统读写、Shell命令执行、通讯工具全面接管等极高的系统权限。

与运行在沙盒云环境中的传统聊天机器人不同，ClawdBot的设计理念是“赋予AI手脚”，使其能够代表用户执行实际操作系统层面的任务。然而，这种强大的能力背后隐藏着系统性的安全风险，引发网络安全担忧。

二、技术解析与风险分析

    本次事件暴露出Agentic AI生态在安全架构设计上的根本性缺陷，主要风险如下：

（一）系统被控制风险

1.ClawdBot以用户权限直接运行在宿主机上，而非在Docker容器或虚拟机等隔离环境中。一旦被入侵，攻击者即可获得宿主机的完整控制权。

2.ClawdBot的核心组件是Web网关，默认监听端口18789。根据网络空间搜索引擎Shodan的扫描数据，已有超过1009个ClawdBot网关直接暴露在公网上。不仅泄露服务器信息，更直接提供了控制面板访问路径。

3.系统设计默认来自127.0.0.1的连接可信，若配置不当，所有外部请求可直接绕过身份验证机制。

（二）数据泄露风险

1.取证分析显示，OpenAI/Anthropic API密钥、Telegram机器人Token、Slack/GitHub访问令牌等极度敏感信息均以明文形式存储在本地文件系统的Markdown和JSON文件中。

2.该应用的MEMORY.md文件记录了AI的“长期记忆”，包含技术凭据、对用户的心理侧写、工作上下文、私人对话摘要以及人际关系网络。攻击者可窃取文件内容，生成用户数字生活画像，发起精准的钓鱼攻击或进行诈骗。