Dezastrul se apropie. Mii de ClawdBots sunt activi acum pe VPS-uri... cu porturi deschise către internet... și zero autentificare. O să devină urât. Dacă agentul tău poate: - navighează pe internet - instrumente de apel - accesarea fișierelor/secretelor - atingerea punctelor finale interne … Apoi, un endpoint public neautentificat este practic "te rog să preiei botul meu". Asta nu este teoretic. Internetul este un scanner non-stop. Rezolvă-l astăzi: 1) închiderea portului / firewall-ului către VPN sau lista de permisiuni IP 2) adăugarea autentificării (JWT/OAuth, cel puțin un secret puternic) + TLS 3) rotirea tastelor (presupune compromis) 4) limită de rată + jurnale + alerte Agenții sunt puternici. Implementările de nivel demo pe internetul deschis nu sunt.

Ce poți face pentru a fi mult mai protejat? #### 1. Elemente de bază pentru implementare și găzduire - Rulează în modul sandboxed - Folosirea unui dispozitiv dedicat sau a unei mașini virtuale - Auto-gazdă privată #### 2. Controlul rețelei și accesului - Evitarea expunerii publice - Protecție împotriva firewall-ului și forței brute - Dezactivați mDNS dacă nu este necesar - Configurarea proxy-urilor de încredere #### 3. Managementul acreditărilor și secretelor - Manageri de Secrete de Utilizare - Nu partaja niciodată fișiere sensibile - Principiul celui mai mic privilegiu #### 4. Gestionarea datelor și confidențialității - Tratează conversațiile ca fiind sensibile - Folosește .clawdignore cu grijă - Protecții de injecție promptă #### 5. Monitorizare și Răspuns la Incidente - Monitorizare regulată - Planul de Incident - Actualizări automate și auto-îmbunătățire

"ClawdNet"

I-am cerut lui Clawdbot să-mi aducă lucruri gratuite și până acum mi-a adus un număr de două cifre de conturi Netflix și Spotify, plus o mulțime de conturi bancare aparținând altor utilizatori Clawdbot. 😂

Top 10 vulnerabilități și soluții sugerate -

😎😎😎

Demn de menționat: Clawdbot suportă 'mode: local' (fără porturi expuse) și 'auth.mode: token' din start - folosește-l!

Mulți oameni îmi spun că, după ce au întrebat Clawd despre acele breșe de securitate, acesta a detectat și remediat unele dintre ele – puțin ironic, dar merită verificat.