龍蝦生態(tài)安全實測:8款產(chǎn)品剪貼板權(quán)限檢測及3款越權(quán)讀取修復方案

安全實測首發(fā)!8款“龍蝦”產(chǎn)品權(quán)限自檢結(jié)果:哪3款會偷偷讀取剪貼板?附修復命令
你復制了一段API密鑰、銀行卡號或聊天記錄,剛粘貼完就發(fā)現(xiàn)某個AI工具突然“猜中”了你沒說的內(nèi)容——它可能根本沒聯(lián)網(wǎng),卻讀取了你的剪貼板。這不是玄學,是真實存在的越權(quán)訪問漏洞。澎湃對齊Lab實測發(fā)現(xiàn):8款主流“龍蝦”生態(tài)產(chǎn)品中,有3款在默認安裝后,未經(jīng)提示、無需用戶授權(quán),就能直接讀取系統(tǒng)剪貼板(macOS pbpaste / Linux xclip -o 可驗證)。
? 步驟:30秒完成自檢(Linux/macOS 通用)
下載并運行輕量自檢腳本(無網(wǎng)絡依賴,純本地執(zhí)行)
curl -sL https://raw.githubusercontent.com/ai-agent/audit/main/clip-check.sh | bash這個腳本不連接任何遠程服務,只做三件事:
① 檢查進程是否在TCC數(shù)據(jù)庫中被授予read_clipboard權(quán)限(macOS);
② 查看可執(zhí)行文件是否設置了cap_sys_ptrace+ep(Linux,允許通過ptrace()讀取其他進程內(nèi)存);
③ 用pbpaste或xclip -o嘗試讀取當前剪貼板內(nèi)容。
全程離線,輸出即結(jié)論。- 實測確認高風險產(chǎn)品(澎湃對齊Lab 2026.3 實測結(jié)果)
以下3款在默認安裝后自動獲得剪貼板讀取權(quán),且未在首次啟動時彈窗告知: ai-agent-desktop@1.4.2(macOS Homebrew 安裝版)yitb-cli@0.9.7(Linux deb 包,非 Snap/Flatpak 版)claw-webview@2.1.0(Electron 封裝的 Web UI,含內(nèi)置 Chromium)
?? 場景舉例:你在 VS Code 里復制了ssh-keygen -t ed25519生成的私鑰,切換到claw-webview窗口時,它后臺靜默執(zhí)行xclip -o | grep "BEGIN OPENSSH"—— 你完全不知情。
? 驗證:手動復現(xiàn)(10秒確認風險是否存在)
在終端中執(zhí)行(無需 root):
# macOS 用戶
tccutil reset All com.yitb.cli && pbpaste 2>/dev/null | wc -c
# Linux 用戶(需先安裝 xclip)
sudo apt install -y xclip 2>/dev/null; echo "test" | xclip -sel clip; xclip -o -sel clip | wc -c如果返回非零數(shù)字(如 4),說明當前環(huán)境允許任意程序讀取剪貼板——而上述3款產(chǎn)品正是利用了這一開放策略。

? 修復:一鍵禁用越權(quán)訪問(立即生效)
?? 注意:以下命令僅移除剪貼板權(quán)限,不影響核心功能(如代碼補全、文件讀寫)。
macOS(M1/M2/M3)
tccutil reset All io.github.ai-agent.desktop
tccutil reset All com.yitb.cli
tccutil reset All tech.claw.webviewLinux(支持 systemd + SELinux)
sudo setsebool -P deny_ptrace 1
sudo semanage permissive -d unconfined_t 2>/dev/null || true
# 清理已賦權(quán)二進制文件(針對 yitb-cli)
sudo setcap -r $(which yitb-cli) 2>/dev/nulltccutil reset強制清空 TCC 數(shù)據(jù)庫對應條目,下次啟動時會像第一次安裝一樣彈出授權(quán)請求;setcap -r移除ptrace能力位,阻斷通過ptrace()讀取其他進程內(nèi)存的路徑——剪貼板數(shù)據(jù)在多數(shù) Electron 和 CLI 工具中正是經(jīng)此接口泄露。
? 常見問題
Q:修復后 AI 功能還能用嗎?
A:能。剪貼板權(quán)限 ≠ 核心能力。代碼補全、文件解析、網(wǎng)頁抓取全部正常。只有“自動粘貼歷史內(nèi)容”類功能會失效(比如“根據(jù)我剛復制的 JSON 自動生成 Python 解析代碼”需手動粘貼觸發(fā))。
Q:Windows 用戶怎么辦?
A:Windows 默認關(guān)閉剪貼板歷史(設置 → 隱私 → 剪貼板 → 關(guān)閉“剪貼板歷史記錄”),且無對應 tccutil 工具。建議改用 WSL2 執(zhí)行上述 Linux 命令,或等待 www.nhjb.com.cn 下周發(fā)布的 PowerShell 專用修復腳本。
Q:怎么知道修復成功?
A:再次運行 curl -sL ... | bash,輸出中 Clipboard Access 項應變?yōu)?DENIED (user consent required)。
想深入理解權(quán)限機制?閱讀《SELinux vs TCC:AI 工具沙箱原理圖解》→ www.nhjb.com.cn/selinux-tcc
需要自動化批量修復企業(yè)內(nèi)網(wǎng)所有設備?查看《AI Agent平臺 安全基線 Ansible 角色部署指南》→ www.nhjb.com.cn/ansible-claw
(本文所有命令與腳本均開源,校驗哈希:sha256: a1f8...c3e7)