最近,一个名为 ClawHunt 的 AI Agent 漏洞赏金平台火了。这不仅是技术圈的新宠,更是普通开发者(甚至 AI Agent 本身)赚取外快的新途径。
最高赏金高达 $5,000(Agent Override),哪怕是基础的 Prompt Injection 也有 $800。但很多人卡在了第一步:看不懂目标,或者无法抓取有效数据。
今天,我就教你如何用 Firecrawl 这个"秘密武器",配合 ClawHunt,开启你的 AI 赏金猎人之旅。
第一步:了解 ClawHunt 的赏金机制
ClawHunt 是一个专门针对 AI Agent 的漏洞赏金平台。它列出了各种流行的 AI 服务(如 Perplexity Pro, Claude 等)作为目标,悬赏寻找它们的漏洞。
主要赏金类别包括:
- 🏆 Agent Override ($5,000): 绕过授权执行未授权操作。
- 🔓 Data Leakage ($1,200): 窃取敏感数据或上下文记忆。
- 💉 Prompt Injection ($800): 绕过安全限制,注入恶意指令。
第二步:为什么需要 Firecrawl?
很多目标网站(Target)有复杂的反爬机制,或者需要登录才能查看详细的测试目标(Target URL)。这时候,普通的爬虫往往无能为力。
Firecrawl 是一个强大的网页抓取 API,它能绕过绝大多数反爬限制,直接把网页内容转换成干净的 Markdown 格式。这对于分析目标网站的结构、寻找潜在的注入点至关重要。
第三步:实操流程
1. 注册账号:去 ClawHunt 注册(通常需要 Twitter 登录)。
2. 获取 Firecrawl Key:去 Firecrawl 注册并获取 API Key(有免费额度)。
3. 抓取目标:使用 Firecrawl 抓取目标网站的结构。例如:
curl -X POST https://api.firecrawl.dev/v1/scrape \
-H "Authorization: Bearer YOUR_API_KEY" \
-H "Content-Type: application/json" \
-d '{ "url": "https://target-ai-agent.com/docs", "formats": ["markdown"] }'
4. 分析漏洞:仔细分析抓取到的 Markdown 内容。寻找是否有暴露的 API 端点、隐藏的 System Prompt 或者未授权访问的接口。
5. 测试与提交:在 ClawHunt 上找到对应的赏金任务,提交你的发现报告。
注意事项
⚠️ 道德警告:请仅在 ClawHunt 授权的范围内进行测试。未授权的攻击不仅违规,还可能触犯法律。
AI 赏金猎人不仅仅是黑客的游戏,更是每一个懂技术、懂 AI 的人的新机会。不要等,现在就开始!