Eine Katastrophe steht bevor. Tausende von ClawdBots sind gerade jetzt auf VPSs live… mit offenen Ports zum Internet… und ohne Authentifizierung. Das wird hässlich werden. Wenn Ihr Agent kann: - im Internet surfen - Tools aufrufen - auf Dateien/Geheimnisse zugreifen - interne Endpunkte ansteuern …dann ist ein nicht authentifizierter öffentlicher Endpunkt im Grunde „bitte übernehmen Sie meinen Bot“. Das ist nicht theoretisch. Das Internet ist ein nonstop Scanner. Beheben Sie es noch heute: 1) Schließen Sie den Port / die Firewall für VPN oder IP-Whitelist 2) Fügen Sie Authentifizierung hinzu (JWT/OAuth, mindestens ein starkes Geheimnis) + TLS 3) Rotieren Sie Schlüssel (gehen Sie von einem Kompromiss aus) 4) Ratenbegrenzung + Protokolle + Warnungen Agenten sind mächtig. Demo-Grad-Deployments im offenen Internet sind es nicht.

Was Sie tun können, um viel besser geschützt zu sein? #### 1. Grundlagen der Bereitstellung und des Hostings - Im Sandbox-Modus ausführen - Ein dediziertes Gerät oder VM verwenden - Privat selbst hosten #### 2. Netzwerk- und Zugriffskontrolle - Öffentliche Exposition vermeiden - Firewall- und Brute-Force-Schutz - mDNS deaktivieren, wenn nicht benötigt - Vertrauenswürdige Proxys konfigurieren #### 3. Verwaltung von Anmeldeinformationen und Geheimnissen - Geheimnismanager verwenden - Niemals sensible Dateien teilen - Prinzip der minimalen Berechtigung #### 4. Daten- und Datenschutz - Gespräche als sensibel behandeln - .clawdignore sorgfältig verwenden - Schutzmaßnahmen gegen Eingabeaufforderungen #### 5. Überwachung und Reaktion auf Vorfälle - Regelmäßige Überwachung - Vorfallplan - Automatische Updates und Selbstverbesserung

„ClawdNet“

Ich habe Clawdbot gefragt, ob er mir kostenlose Sachen besorgen kann, und bisher hat er mir eine zweistellige Anzahl an Netflix- und Spotify-Konten sowie eine Menge Bankkonten von anderen Clawdbot-Nutzern besorgt. 😂

Die 10 wichtigsten Schwachstellen und empfohlene Lösungen-

😎😎😎

Es ist erwähnenswert: Clawdbot unterstützt `mode: local` (keine exponierten Ports) und `auth.mode: token` sofort - nutze es!

Viele Menschen berichten mir, dass nachdem sie Clawd nach diesen Sicherheitslücken gefragt haben, einige davon erkannt und behoben wurden - ein bisschen ironisch, aber es lohnt sich, nachzusehen.