Clawdbot（一個基於 Claude 的 AI 聊天機器人產品）的安全災難持續惡化。本片揭露了數百甚至數千個 Clawdbot 實例遭到駭客入侵的現況，包括 Nginx 反向代理漏洞、技能倉庫的供應鏈攻擊，以及 API 金鑰外洩等嚴重問題，並提供了一系列實用的安全防護建議。

---

原影片連結：https://www.youtube.com/watch?v=rPAKq2oQVBs

影片重點

• 數百至數千個 Clawdbot 實例已被駭客入侵，控制面板完全暴露在公開網路上
• 透過 Shodan 等服務搜尋特定關鍵字，即可找到大量未受保護的 Clawdbot 伺服器
• Nginx 反向代理的設定漏洞讓攻擊者能完全存取使用者的控制面板、訊息歷史和 API 金鑰
• 技能倉庫（Claude Hub / MoltHub）缺乏安全審查機制，容易遭受供應鏈攻擊
• 白帽駭客 Jameson 成功建立了偽造的後門技能，並將下載次數灌到 4,000 以上
• 建議使用非預設端口、設定密碼、更新至最新版本、配置 trusted proxies
• 安裝技能前應仔細審查所有檔案，並透過第三方 AI 驗證其安全性
• 所有已暴露的 API 金鑰都應立即輪換（rotate）

詳細內容

00:00 Clawdbot 安全災難現況

影片開頭，Nick Saraev 表示在查看 Clawdbot 的最新狀況後發現事態比想像中更嚴重。目前已有使用者被 Claude 永久封禁帳號，有人在 Claude Hub 上建立惡意技能，甚至取得其他人控制面板的 root 權限。估計已有數百到數千個 Clawdbot 實例遭到入侵。

他形容這是「Vibe Coding 的紅色婚禮」——一場正在即時上演的災難。

01:00 公開暴露的控制面板

大多數使用者將 Clawdbot 部署在 VPS 上，需要將其發布到公開可存取的 URL。然而，像 Shodan 這類服務會不斷掃描並索引網路上所有可用的 URL。只要在這些公開索引資料庫中搜尋「Clawbot control」這段文字，就能找到數千台正在運行的伺服器，而且只需點擊連結就能直接存取。

Nick 展示了一個實際案例——某人的 Clawdbot 控制面板頁面。他特別挑選了一個顯示「已斷線、需要身份驗證」的安全範例，以避免實際存取他人的 API 憑證。

02:15 Nginx 反向代理漏洞

一位名為 Jameson 的安全研究員發現，如果 Clawdbot 伺服器使用 Nginx 作為反向代理，由於 Nginx 與 Clawdbot 之間的交互方式存在漏洞，攻擊者可以完全存取任何人的 Clawdbot 控制面板。這意味著不僅能讀取所有收發的訊息，還能取得所有技能設定、配置資訊以及 API 金鑰。

這個問題之所以如此嚴重，是因為大多數使用者會將所有 API 金鑰、Token 和各平台（如 Anthropic 等）的密鑰都上傳到 Clawdbot 中。一旦被入侵，攻擊者等於掌握了使用者的全部數位生活。

03:30 白帽駭客的發現

Jameson 作為白帽駭客，透過這個漏洞找到了一位自稱「AI 系統工程師」的使用者資訊，成功完整辨識其身份並取得所有訊息歷史。Nick 指出目前有數百位安全專家正在批評 Clawdbot 的安全狀況有多糟糕，同時也有使用者給予 Clawdbot root 權限後系統完全失控的案例。

04:30 安全防護建議一：鎖定基礎設施

Nick 開始提供具體的安全建議。首先是更改預設端口。目前最常被掃描的 Clawdbot 端口是 18789（預設端口）。使用預設端口等於讓掃描服務能快速鎖定你的伺服器。建議使用亂數產生器選擇一個非傳統端口（例如 44892），避免使用 443、80、8080、3000 等常見端口。

如果不知道如何操作，可以直接讓 Claude Code 存取你的伺服器來進行設定。

05:40 安全防護建議二：設定密碼與更新版本

第二個建議是一定要設定密碼，不要留空。雖然密碼是預設設定，但仍有部分使用者未設定。

第三個建議是更新 Clawdbot 到最新版本。最新版本已修補了 Nginx 反向代理的漏洞。但由於所有人都是自行架設，沒有自動更新機制，必須手動更新。

對於尚未更新的使用者，務必設定 gateway.trusted_proxies，尤其是使用 Nginx/Caddy 反向代理的情況。如果不設定，控制面板會將所有存取者視為 localhost，等同於對任何人敞開大門。

如果想要最高安全性，建議使用 Tailscale 或其他 VPN 方案。

07:00 安全防護建議三：輪換 API 金鑰

如果你已經將 Clawdbot 發布到公開 URL 但尚未做任何安全措施，應該立即輪換所有 API 金鑰。大多數知名服務都提供金鑰輪換功能，可以在金鑰洩漏時快速更換。

07:20 供應鏈攻擊：技能倉庫的風險

另一個重大攻擊向量是供應鏈層面——也就是人們用來擴展 Clawdbot 功能的技能和工具倉庫。Claude Hub（已更名為 MoltHub）提供了各種附加功能，如網頁聊天、音訊通知、決策樹等。

問題在於這些倉庫缺乏安全審查機制。Jameson 實際建立了一個偽造的後門技能，並將下載次數灌到 4,000 以上。由於 MoltHub 的排名演算法非常簡單（僅根據單位時間的下載量排序），這個惡意技能很快就被推上了首頁推薦位置。當不知情的使用者下載並安裝這個技能後，所有 API Token 都可能被竊取。

08:45 如何安全使用技能倉庫

Nick 提供了幾個保護建議：首先，交叉驗證網站的可信度，在社群媒體上搜尋是否有可信的人在討論這個網站。

其次，在執行任何技能之前，閱讀其中的每一個檔案，不要只看頂層的 skill.md。更好的做法是將整個技能檔案丟給一個全新的 Claude、Gemini 或 ChatGPT 實例，讓它分析這個技能是否真的做了它聲稱要做的事。

再者，檢查作者資訊，確認他們是否有真實的聲譽、真實的面孔和關聯的 GitHub 帳號。有真實 commit 歷史的開發者通常不會冒險發布惡意內容。

最後，Nick 建議開發者們將 Claude Hub 等技能倉庫視為「早期的 npm」——假設所有內容都未經審查，每個下載的套件都可能有問題。

10:00 總結

Nick 表示他非常看好這類技術的未來，但目前絕不會將所有 API 金鑰託付給 Clawdbot。他宣布這是他最後一次在頻道上討論 Clawdbot 的話題，祝大家好運。

我的想法

這部影片揭示了 Vibe Coding 時代一個被嚴重低估的問題：當非技術使用者能夠快速部署複雜系統時，安全性往往是最先被忽略的環節。Clawdbot 的案例完美展現了「易用性」與「安全性」之間的永恆矛盾。

供應鏈攻擊的部分特別值得關注。MoltHub 的排名機制如此容易被操控，反映出整個 AI Agent 生態系統在安全基礎設施上的不成熟。這與早期 npm 生態系統遭遇的問題如出一轍，但 AI Agent 的風險更高——因為它們通常需要更多權限（API 金鑰、系統存取權等）。

對於正在使用類似工具的開發者，最實用的建議可能是：永遠假設你的系統會被掃描到，以此為前提來設計安全策略。使用 VPN（如 Tailscale）、非預設端口、強密碼，以及定期輪換金鑰，這些都是基本但有效的防護措施。