自选
我的自选
查看全部
市值 价格 24h%
SVG Image
  • 全部
  • 产业
  • Web 3.0
  • DAO
  • DeFi
  • 符文
  • 空投再质押
  • 以太坊
  • Meme
  • 比特币L2
  • 以太坊L2
  • 研报
  • 头条
  • 投资
30.00% 70.00%
利好
利空

热门币种

更多

免责声明:内容不构成买卖依据,投资有风险,入市需谨慎!

Clawdbot之乱:强制更名、加密骗局与24小时崩盘

2026-01-29 03:54:04
收藏

就在几天前,一个名为Clawdbot的项目还在GitHub上炙手可热,它拥有超过八万个星标。这项工程令人印象深刻,它允许用户通过WhatsApp、Telegram和Discord等即时通讯应用,在本地运行一个具备完整系统访问权限的人工智能助手。

法律纠纷与更名风波

然而如今,该项目被迫进行了法律层面的品牌重塑,同时遭遇了加密货币诈骗者的侵扰,被牵连进一个市值曾短暂飙升至1600万美元随后崩盘的虚假代币事件,并且遭到了研究人员的批评——他们发现了大量无需认证即可公开访问的网关及可获取的凭证。

这一切始于Anthropic公司向项目创始人彼得·斯坦伯格发出商标权主张之后。这家为许多Clawdbot实例提供Claude模型支持的人工智能公司认为,“Clawd”与“Claude”过于相似。这无可厚非,商标法即是如此。

然而,这却引发了一系列迅速蔓延的问题。

品牌更迭与账户劫持

斯坦伯格在社交媒体上宣布,将项目名称从Clawdbot(一个与龙虾相关的双关语)变更为Moltbot。社区起初对此反应平静,项目官方账户写道:“同样的龙虾灵魂,全新的外壳。”

随后,斯坦伯格同时更改了GitHub组织与社交媒体账户的名称。但在释放旧账户名称与锁定新账户之间的短暂间隙,加密货币诈骗者劫持了这两个账户。

被劫持的账户立即开始推广一种在Solana区块链上名为CLAWD的虚假代币。短短数小时内,投机交易者就将该代币的市值推高至超过1600万美元。部分早期买家声称获得了巨额收益,而斯坦伯格则否认与该代币有任何关联。随后市值崩溃,后期买入者损失惨重。

安全漏洞浮出水面

“致所有加密货币界人士:请停止联系我,停止骚扰我,”斯坦伯格写道,“我永远不会发行代币。任何将我列为代币所有者的项目都是骗局。不,我不会收取任何费用。你们的行为正在严重损害这个项目。”

加密货币社群并未坦然接受这一拒绝。部分投机者认为斯坦伯格的否认导致了他们的损失,并发动了骚扰活动。他面临背信弃义的指控,被要求“承担责任”,并受到协调施压,要求他支持一些自己从未听闻的项目。

斯坦伯格最终成功恢复了账户的控制权。但与此同时,安全研究人员认为,这正是指出数百个Clawdbot实例在无任何认证的情况下暴露于公共互联网的恰当时机。换言之,用户授予人工智能的未受监督的权限,极易被恶意攻击者利用。

技术缺陷与风险警示

据相关报道,人工智能开发者路易斯·卡塔科拉通过Shodan扫描发现,许多问题基本上源于新手用户赋予了该代理过多权限。“我检查了Shodan,发现端口18789上存在无需认证的暴露网关,”他写道,“这意味着可获取shell访问权限、浏览器自动化控制权以及用户的API密钥。Cloudflare Tunnel是免费的,没有理由不加以利用。”

红队公司Dvuln的创始人杰米森·奥莱利也发现,识别存在漏洞的服务器非常容易。“在我手动检查的实例中,有八个是完全开放且无需任何认证的,”奥莱利表示。另有数十个实例仅设置了部分防护,未能完全消除暴露风险。

技术问题何在?Clawdbot的认证系统会自动批准本地主机连接。当用户通过反向代理运行该软件时(多数用户如此操作),所有连接看似都来自127.0.0.1,从而获得自动授权,即使这些连接实际源自外部。

区块链安全公司SlowMist确认了该漏洞,并警告称多个代码缺陷可能导致凭证窃取与远程代码执行。研究人员已展示了多种提示词注入攻击方式,其中包括通过电子邮件诱骗人工智能实例将私人消息转发给攻击者,整个过程仅需几分钟。

反思与未来挑战

“这就是在安全审计之前病毒式增长所带来的后果,”创始人系统开发者阿卜杜勒穆伊兹·阿德耶莫写道,“‘公开构建’模式存在一个无人提及的阴暗面。”

对人工智能爱好者与开发者而言,好消息是项目本身并未消亡。Moltbot与之前的Clawdbot是同一款软件;其代码坚实可靠,尽管备受炒作,但对新手并不特别友好。其应用场景真实存在,但尚未准备好进入主流采用阶段。而安全问题依然存在。

运行一个具备shell访问权限、浏览器控制及凭证管理功能的自主人工智能代理,创造了传统安全模型未曾设计的攻击面。这些系统的经济性——本地部署、持久化记忆与主动式任务——推动其采用的速度,已超过了行业安全态势的适应能力。

而那些加密货币诈骗者仍在暗中等待下一个混乱的窗口。只需要一次疏忽、一个错误或一处漏洞。事实证明,十秒钟,已然足够。

免责声明:

本网站、超链接、相关应用程序、论坛、博客等媒体账户以及其他平台和用户发布的所有内容均来源于第三方平台及平台用户。百亿财经对于网站及其内容不作任何类型的保证,网站所有区块链相关数据以及其他内容资料仅供用户学习及研究之用,不构成任何投资、法律等其他领域的建议和依据。百亿财经用户以及其他第三方平台在本网站发布的任何内容均由其个人负责,与百亿财经无关。百亿财经不对任何因使用本网站信息而导致的任何损失负责。您需谨慎使用相关数据及内容,并自行承担所带来的一切风险。强烈建议您独自对内容进行研究、审查、分析和验证。

展开阅读全文
更多新闻