الكارثة قادمة. آلاف من كلاودبوتس نشطون الآن على VPSs... مع منافذ مفتوحة للإنترنت... ولا يوجد أي مصادقة. الأمور ستصبح قبيحة. إذا كان بإمكان وكيلك إذن: - تصفح الويب - أدوات الاتصال - ملفات الوصول/الأسرار - نقاط النهاية الداخلية التي تضربها … ثم نقطة نهاية عامة غير مصدقة هي ببساطة "يرجى السيطرة على روبوتي". هذا ليس نظريا. الإنترنت هو ماسح ضوئي لا يتوقف. أصلحه اليوم: 1) أغلق المنفذ / الجدار الناري إلى VPN أو قائمة سماوح IP 2) إضافة مصادقة (JWT/OAuth، على الأقل سر قوي) + TLS 3) تدوير المفاتيح (افتراض التسوية) 4) حد المعدل + السجلات + التنبيهات العملاء أقوياء. النشر من الدرجة التجريبية على الإنترنت المفتوح ليس كذلك.

ماذا يمكنك أن تفعل لتكون أكثر حماية؟ #### 1. أساسيات النشر والاستضافة - التشغيل في وضع صندوق الرمل - استخدام جهاز مخصص أو آلة افتراضية - استضافة ذاتية بشكل خاص #### 2. التحكم في الشبكة والوصول - تجنب التعرض أمام الجمهور - الحماية بالجدار الناري والقوة الغاشمة - تعطيل mDNS إذا لم تكن هناك حاجة - تكوين الوكلاء الموثوقين #### 3. إدارة الشهادات والأسرار - استخدام مديري الأسرار - عدم مشاركة الملفات الحساسة أبدا - مبدأ الامتياز الأدنى #### 4. التعامل مع البيانات والخصوصية - عامل المحادثات على أنها حساسة - استخدم .clawdignore بعناية - حواجز الحماية السريعة للحقن #### 5. المراقبة والاستجابة للحوادث - المراقبة الدورية - خطة الحادث - التحديثات التلقائية والتحسين الذاتي

"كلاودنت"

طلبت من Clawdbot أن يمنحني أشياء مجانية، وحتى الآن حصل لي على عدد مزدوج من حسابات Netflix وSpotify، والعديد من الحسابات البنكية التي تخص مستخدمين آخرين. 😂

أفضل 10 ثغرات وحلول مقترحة -

😎😎😎

جدير بالذكر: Clawdbot يدعم 'mode: local' (بدون منافذ مكشوفة) و'auth.mode: token' مباشرة - استخدمه!

الكثير من الناس يبلغونني أنه بعد أن سألوا Clawd عن تلك الثغرات الأمنية، اكتشفوا بعضها وأصلحوه - وهذا أمر ساخر قليلا، لكنه يستحق التحقق.