Актуальні теми
#
Bonk Eco continues to show strength amid $USELESS rally
Hosico
Hosico-4,98%
USELESS
USELESS+2,72%
IKUN
IKUN-0,43%
gib
gib+0,4%
#
Pump.fun to raise $1B token sale, traders speculating on airdrop
Bonk
Bonk+0,34%
ALON
ALON-10,08%
LAUNCHCOIN
LAUNCHCOIN-1,08%
GOONC
GOONC+4,83%
KLED
KLED-11,17%
#
Boop.Fun leading the way with a new launchpad on Solana.
BOOP
BOOP-0,23%
Boopa
Boopa+1,85%
PORK
PORK0,00%
Itamar Golan 🤓
Itamar Golan 🤓
15 годин тому·
Наближається катастрофа. Тисячі ClawdBots зараз живі на VPS... з відкритими портами в інтернет... і нульової автентифікації. Це буде неприємно. Якщо ваш агент може: - Перегляд інтернету - інструменти викликів - файли доступу/секрети - влучити у внутрішні кінцеві точки … Тоді неавтентифікована публічна кінцева точка — це фактично «будь ласка, захопіть мого бота». Це не теорія. Інтернет — це безперервний сканер. Виправте це вже сьогодні: 1) закрити порт/фаєрвол до VPN або списку дозволів IP 2) додати автентифікацію (JWT/OAuth, принаймні сильний секрет) + TLS 3) обертати клавіші (припускайте компроміси) 4) ліміт тарифу + журнали + сповіщення Агенти потужні. Демо-класні розгортання у відкритому інтернеті — ні.
Що ви можете зробити, щоб бути набагато більш захищеними? #### 1. Основи розгортання та хостингу - Запуск у режимі пісочниці - Використання спеціалізованого пристрою або віртуальної машини - Приватне ведення #### 2. Контроль мережі та доступу - Уникати публічного впливу - Файрвол і захист від грубої сили - Вимкнути mDNS, якщо це не потрібно - Налаштувати довірені проксі #### 3. Управління кваліфікаціями та секретами - Використання менеджерів секретів - Ніколи не ділитися конфіденційними файлами - Принцип найменшого привілею #### 4. Обробка даних і конфіденційності - Ставитися до розмов як до чутливих - Використовуйте .clawdignore обережно - Відбійники швидкого впорскування #### 5. Моніторинг та реагування на інциденти - Регулярний моніторинг - План інциденту - Автоматичні оновлення та самовдосконалення
"ClawdNet"
Я попросив Clawdbot надати мені безкоштовні речі, і поки що мені набрали двозначну кількість акаунтів Netflix і Spotify, а також купу банківських рахунків інших користувачів Clawdbot. 😂
Топ-10 вразливостей і запропоновані виправлення-
😎😎😎
Варто зазначити: Clawdbot підтримує 'mode: local' (без відкритих портів) та 'auth.mode: token' одразу з коробки — використовуйте його!
Багато людей повідомляють мені, що після того, як вони запитали Clawd про ці прогалини в безпеці, він виявив і виправив деякі з них — трохи іронічно, але варто перевірити.
427