Katastrofen är på väg. Tusentals ClawdBots är live just nu på VPS:er... med öppna portar till internet... och noll autentisering. Det här kommer att bli fult. Om din mäklare kan: - surfa på webben - anropsverktyg - åtkomst till filer/hemligheter - träffa interna ändpunkter … Då är en icke-autentiserad offentlig endpoint i princip "snälla ta över min bot". Det här är inte teoretiskt. Internet är en nonstop scanner. Fixa det idag: 1) stäng porten/brandväggen till VPN eller IP-tillåten lista 2) lägg till autentisering (JWT/OAuth, åtminstone en stark hemlighet) + TLS 3) rotera tangenter (anta kompromiss) 4) hastighetsgräns + loggar + varningar Agenter är mäktiga. Demo-nivå-installationer på det öppna internet är det inte.

Vad kan du göra för att bli mycket mer skyddad? #### 1. Grundläggande för distribution och hosting - Kör i sandlådeläge - Använd en dedikerad enhet eller virtuell maskin - Självvärd privat #### 2. Nätverks- och åtkomstkontroll - Undvika offentlig exponering - Brandvägg och Brute-Force-skydd - Inaktivera mDNS om det inte behövs - Konfigurera betrodda proxyer #### 3. Behörighets- och hemlighetshantering - Använd hemlighetshanterare - Dela aldrig känsliga filer - Principen om minsta privilegium #### 4. Data- och integritetshantering - Behandla samtal som känsliga - Använd .clawdignore noggrant - Snabbinjektionsräcken #### 5. Övervakning och incidenthantering - Regelbunden övervakning - Incidentplan - Automatiska uppdateringar och självförbättring

"ClawdNet"

Jag bad Clawdbot att skaffa gratis saker åt mig, och hittills har det gett mig tvåsiffrigt antal Netflix- och Spotify-konton, samt en massa bankkonton som tillhör andra Clawdbot-användare. 😂

Topp 10 sårbarheter och föreslagna lösningar-

😎😎😎

värt att notera: Clawdbot stöder 'mode: local' (inga exponerade portar) och 'auth.mode: token' direkt ur lådan – använd det!

Många rapporterar till mig att efter att de frågat Clawd om de där säkerhetshålen, upptäckte och åtgärdade den några av dem – lite ironiskt, men värt att kolla.