Blíží se katastrofa. Tisíce ClawdBotů jsou teď aktivní na VPS... s otevřenými porty na internet... A nulová autentizace. Bude to ošklivé. Pokud váš makléř může: - Procházet web - nástroje pro volání - přístupové soubory/tajemství - zasáhnout interní koncové body … Pak neautentizovaný veřejný endpoint je v podstatě "prosím, převezměte mého bota". To není teoretické. Internet je nepřetržitý skener. Opravte to ještě dnes: 1) uzavřít port / firewall na VPN nebo seznam povolených IP adres 2) přidat autentizaci (JWT/OAuth, alespoň silné tajemství) + TLS 3) otáčet klíče (předpokládat kompromis) 4) limit rychlosti + záznamy + upozornění Agenti jsou mocní. Demo nasazení na otevřeném internetu nejsou.

Co můžete udělat, abyste byli mnohem více chráněni? #### 1. Základy nasazení a hostování - Běh v sandboxovém režimu - Použití dedikovaného zařízení nebo VM - Soukromé hostitelství #### 2. Síťová a přístupová kontrola - Vyhnout se veřejnému vystavení - Ochrana proti firewallu a hrubé síle - Vypnout mDNS, pokud není potřeba - Konfigurovat důvěryhodné proxy #### 3. Správa přihlašovacích údajů a tajemství - Používejte správce tajemství - Nikdy nesdílet citlivé soubory - Princip nejmenšího privilegia #### 4. Manipulace s daty a ochranou soukromí - Přistupovat k rozhovorům jako k citlivým - Používejte .clawdignore Careful - Zábradlí pro rychlé vstřikování #### 5. Monitorování a reakce na incidenty - Pravidelné monitorování - Plán zásahu - Automatické aktualizace a sebezdokonalování

"ClawdNet"

Požádal jsem Clawdbot o něco zdarma, a zatím mi to přineslo dvouciferný počet účtů na Netflixu a Spotify a spoustu bankovních účtů ostatních uživatelů Clawdbotu. 😂

Top 10 zranitelností a navrhované opravy-

😎😎😎

Stojí za zmínku: Clawdbot podporuje 'mode: local' (bez vystavených portů) a 'auth.mode: token' hned po vybalení – použijte to!

Mnoho lidí mi hlásí, že poté, co se Clawd zeptali na ty bezpečnostní díry, některé z nich odhalil a opravil – trochu ironické, ale stojí za to to zkontrolovat.