Felaket geliyor. Şu anda binlerce ClawdBot VPS'lerde canlı... İnternete açık portlarla... ve sıfır kimlik doğrulama. Bu işler çirkinleşecek. Eğer temsilciniz şunları yapabiliyorsa: - Web'de gezinme - çağrı araçları - dosyalara/sırlara erişim - dahili uç noktalara ulaşmak … O zaman kimlik doğrulamasız bir halka açık uç nokta temelde "lütfen botumu ele geçirin" şeklindedir. Bu teorik değil. İnternet durmaksızın bir tarayıcı. Bugün düzeltin: 1) VPN veya IP alpermitlist portunu/güvenlik duvarını kapatın 2) kimlik doğrulaması eklemek (JWT/OAuth, en azından güçlü bir sır) + TLS 3) Anahtarları döndürmek (uzlaşmayı varsaymak) 4) hız sınırı + loglar + uyarılar Ajanlar güçlüdür. Açık internette demo seviyesinde dağıtımlar ise değil.

Daha korunaklı olmak için neler yapabilirsiniz? #### 1. Dağıtım ve Barındırma Temelleri - Sandbox modunda çalıştırma - Özel bir cihaz veya VM kullanın - Kişisel Olarak Kendi Sunuculuğu #### 2. Ağ ve Erişim Kontrolü - Kamuoyuna Karşı Çıkmaktan Kaçının - Güvenlik Duvarı ve Kaba Kuvvet Koruması - Gerekmezse mDNS'yi devre dışı bırakın - Güvenilir Proxy'leri Yapılandırma #### 3. Credentials and Secrets Management - Sır Yöneticileri Kullanın - Hassas dosyaları asla paylaşma - En Az Ayrıcalık İlkesi #### 4. Veri ve Gizlilik Yönetimi - Konuşmaları Hassas Olarak Ele Alın - .clawdignore Dikkatlice kullanın - Hızlı enjeksiyon korkulukları #### 5. İzleme ve Olay Müdahalesi - Düzenli İzleme - Olay Planı - Otomatik Güncellemeler ve Kendini Geliştirme

"ClawdNet"

Clawdbot'tan bana ücretsiz şeyler almasını istedim ve şimdiye kadar iki haneli Netflix ve Spotify hesabı ile diğer Clawdbot kullanıcılarına ait birçok banka hesabı buldum. 😂

En Büyük 10 Güvenlik Açığı ve Önerilen Düzeltmeler-

😎😎😎

Dikkat edilmesi gereken bir nokta: Clawdbot kutudan çıktığı gibi 'mode: local' (açık port yok) ve 'auth.mode: token' özelliklerini destekliyor - kullanın!

Birçok kişi bana Clawd'a bu güvenlik açıklarını sorduktan sonra bazılarını tespit edip düzelttiğini söylüyor - biraz ironik ama kontrol etmeye değer.