Рассматривая риски безопасности ИИ-инструментов на примере переименования Clawdbot: почему нетехническим пользователям следует проявлять осторожность
О трех переименованиях Clawdbot: почему я настоятельно не рекомендую нетехническим пользователям легко пробовать новинки
Самый абсурдный и реалистичный случай в мире ИИ за последнее время - это "три переименования" Clawdbot: от первоначального Clawd (предшественником которого был простой инструмент пересылки сообщений WhatsApp Relay), до поспешного переименования в Moltbot из-за проблем с товарными знаками, и наконец до окончательного названия OpenClaw после учета обратной связи от сообщества. За短短 несколько дней проект сменил три "личины". За этим скрывается правда о "врожденных недостатках" таких продуктов ИИ: это не продукт крупной компании, а личная работа инженера, созданная дома с помощью ИИ-инструментов за 10 дней, почти без написания кода с нуля, и без первоначального полноценного планирования.
Его внезапная популярность была чистой случайностью - звезды на GitHub быстро выросли до 80k+ (пиковое значение превышало 100k+), его расхваливали в технологических кругах как "черный технологический инструмент, экономящий половину сил", но поспешно запущенный проект просто не выдержал проверки масштабного распространения. Три переименования кажутся незначительными проблемами с товарными знаками и репутацией, но на самом деле они раскрывают общие недостатки таких продуктов: на начальном этапе только стремление к внедрению функций и желанию быстро стать популярным, полное игнорирование таких ключевых деталей, как проверка товарных знаков, защита безопасности и т.д. Как только проект неожиданно становится популярным, скрытые технические недостатки и критические уязвимости безопасности мгновенно проявляются, и это основная причина, почему я настоятельно не рекомендую нетехническим пользователям легко пробовать такие новинки.
1. Кажущиеся "полезными" AI-инструменты скрывают "врожденные" уязвимости безопасности
Основная проблема таких ИИ-инструментов заключается в том, что удобство и уязвимости связаны между собой,而这些 скрытые уязвимости являются "смертельным недостатком", с которым нетехнические пользователи просто не могут справиться.
На примере Clawdbot, который позиционируется как "мощные функции + простое развертывание", заявляя о возможности интеграции с крупными моделями вроде Claude для автоматизации задач, на самом деле он является "большой фермой для взлома" для хакеров - уже тысячи развернутых экземпляров были взломаны хакерами и превратились в беспомощные "зомби-компьютеры".
Мы, нетехнические пользователи, не можем обнаружить уязвимости самого инструмента и не можем справиться с рисками при развертывании и использовании, это как держать незаряженный пистолет, который может случайно ранить вас в любой момент.
2. Три смертельных риска, от которых нетехнические пользователи просто не могут уклониться
Я не пугаю вас, каждая уязвимость безопасности в инструментах вроде Clawdbot может обернуться для вас тяжелыми последствиями, а у нас даже нет способности распознавать эти риски.
1. В самом инструменте есть уязвимости, при развертывании вы можете "голыми идти"
Такие инструменты как Clawdbot имеют "острый дизайн": для достижения сильной автоматизации предоставляются высокие привилегии, но не配套完善的 защита безопасности.
Как локально работающий ИИ-ассистент, он требует публичного URL для развертывания, что эквивалентно прямой панели управления, выставленной перед поисковыми системами вроде Shodan, где хакеры могут найти ее одним поиском.
Более скрытой является его смертельная уязвимость в обратном прокси Nginx: при малейшей ошибке в конфигурации хакеры могут легко получить доступ ко всем вашим сообщениям, настройкам и API-ключам, а "правильная настройка" сама по себе выходит за пределы возможностей и познаний нетехнических пользователей, у которых просто нет осознания 所谓 "правильной настройки".
2. Уязвимости в цепочке поставок: ваш "полезный плагин" для загрузки может быть "задней дверью" хакеров
Расширение функциональности Clawdbot осуществляется через репозиторий плагинов skills MoltHub (ранее Claude Hub), а такие репозитории даже не имеют базовой проверки безопасности. Хакеры могут загружать плагины с задней дверью, а затем накручивать количество загрузок, чтобы伪装овать их "высокую популярность" и诱使用 пользователей скачивать.
Белый хакер Джеймсон провел симулированный тест: плагин с задней дверью, накрученный до 4000 загрузок, смог войти в число лидеров. Мы, нетехнические пользователи, можем судить о качестве плагина только по количеству загрузок, и это как раз突破口 для хакеров.
Как только используется вредоносный плагин, ваши API-токены, личные данные и даже контроль над вашим устройством могут быть тайно украдены хакерами, а вы будете в полном неведении о происходящем.
Более того, недавно Moltbook (форум,专属 для AI-агентов), был разоблачен исследователем безопасности Нагли на платформе X в массовом накручивании показателей: платформа не имеет никаких ограничений на создание аккаунтов, и с помощью одного OpenClaw-агента он смог массово зарегистрировать 500 000 фальшивых bot-аккаунтов. То есть, из заявленных миллионных AI-агентов, почти половина - это накрученные фальшивые боты (и это только те, которые были разоблачены, реальные цифры еще неизвестны), так называемый "AI-социальный ажиотаж" на самом деле является ложным процветанием, что ничем не отличается от слепого追逐热点 в Китае, что подтверждает, что популярность таких продуктов зависит от маркетинга и накрутки, а не от реальной ценности.
3. Атаки впрыскивания подсказок: невидимые вредоносные команды, от которых невозможно защититься
Существует еще один риск, совершенно незнакомый нетехническим пользователям - впрыскивание подсказок: хакеры скрывают вредоносные команды в обычном тексте, побуждая ИИ-инструменты выходить за пределы своих полномочий и窃取 данные.
Такие атаки имеют высокую скрытность, даже профессиональные инструменты безопасности с трудом их распознают. В навыках (skills) Clawdbot существует серьезный риск такого типа, непроверенные навыки могут содержать вредоносный код, который после выполнения может泄露 данные или даже случайно удалить важные файлы.
Конечно, это не направлено против Clawdbot, а скорее "все здесь в одной лодке", перед использованием всех агентов, поддерживающих навыки, лучше всего просмотреть весь код или просканировать его с помощью другой независимой ИИ-модели, но для нас, не знающих код и принципы работы ИИ, это может быть довольно сложной задачей.
3. Не верьте "рекомендациям по защите", они совершенно бесполезны для нетехнических пользователей
Может кто-то скажет, что можно добавить некоторые рекомендации по защите, например, использовать случайные порты, устанавливать пароли, использовать VPN.
Но эти рекомендации для нетехнических пользователей - все это просто теория.
Рекомендуется избегать порта по умолчанию 18789, настроить gateway.trusted_proxies для предотвращения поддельного доступа, немедленно сменить API-ключи после раскрытия информации.
Все эти операции требуют专业技术, большинство людей не умеют находить случайные порты, не понимают значения gateway.trusted_proxies, и тем более не знают, как менять API-ключи.
Это как будто врач выписал профессиональный рецепт, но не объяснил, как его использовать, для человека, не знающего медицины, это не только бесполезно, но и может ухудшить состояние из-за неправильного применения лекарств.
4. Самая жестокая правда: если что-то пойдет не так, вы просто не сможете ничего исправить
Исследования показывают, что уже от сотен до тысяч развернутых экземпляров Clawdbot были взломаны: многие пользователи были заблокированы Claude, некоторые из-за утечки API-ключей потеряли 70 долларов всего за 24 часа.
Технические специалисты могут изолировать среду, устранить уязвимости, чтобы уменьшить потери, но нетехнические пользователи, столкнувшись с блокировкой аккаунтов, утечкой данных, захватом устройств, могут только беспомощно смотреть.
Мы не можем найти уязвимости, удалить вредоносные программы, в конечном итоге мы можем только столкнуться с утечкой приватности, финансовыми потерями, даже юридическими рисками.
В провинции Чжэцзян есть случай: человек, "чайник" в компьютерах, следуя моде, использовал такой ИИ-инструмент для создания фальшивых видео, в конечном итоге был арестован за нарушение закона, и до ареста он так и не понял, в чем его ошибка.
В заключение: рационально относитесь к AI, не будьте "подопытными кроликами"
С моей точки зрения, популярность Clawdbot в Китае - это чистое слепое追逐热点 нетехническими пользователями. Этот инструмент на самом деле имеет низкий технический порог и ничего оригинального, его возможности по автоматизации - это просто грубое вызов открытых API + высокое системное разрешение. Он стал популярным за рубежом, потому что попал в потребность пользователей в ИИ-ассистентах 7×24 часа в условиях взаимосвязанной экосистемы интернета; но в Китае разные производители и продукты имеют строгие барьеры, WeChat, Alipay, Douyin действуют независимо, этот инструмент просто не имеет места для применения. "Популярность" в Китае по сути является маркетинговым ажиотажем, все следуют моде, делятся и пробуют новинки, никто не обращает внимания на то, какие практические проблемы он может решить.
Я не отрицаю инновационную ценность таких ИИ-технологий как Clawdbot, она действительно указывает на будущее автоматизации ИИ, но на текущем этапе слишком много уязвимостей безопасности, это绝不是 обычных пользователей удобный инструмент, скорее更像 продукт для тестирования технических специалистов.
У таких инструментов есть фундаментальные дефекты в модели безопасности, которые все еще требуют долгосрочного совершенствования; авторитетные организации, такие как Palo Alto Networks, Cisco, также предупреждают, что они могут вызвать новые кризисы безопасности в области ИИ.
Технические специалисты могут тестировать и устранять уязвимости в изолированной среде, но мы, нетехнические пользователи, не должны рисковать своей приватностью и финансами, оплачивая развитие технологий.
В настоящее время ИИ развивается стремительно, появляются новые инструменты, но我们必须分清 "技术测试"和 "日常使用"的边界, нам нужна безопасность и удобство, а не удовольствие от пробования нового.
Удобство ИИ не должно достигаться за счет безопасности. Надеюсь, каждый читатель сможет сохранять рациональность, не слепо следовать за толпой, не использовать приватность и финансы в качестве "тестовых образцов". Только когда такие технологии созреют, уязвимости будут устранены, тогда можно будет спокойно наслаждаться удобством - это самый разумный выбор. Или хотя бы перед тем, как отдать свой API Key и банковский пароль, спросите у ИИ: как вы можете обеспечить безопасность моей приватности?