Se acerca el desastre. Miles de ClawdBots están activos ahora mismo en VPS... con puertos abiertos a internet... Y cero autenticación. Esto se va a poner feo. Si tu agente puede: - navegar por la web - herramientas de llamada - acceder a archivos/secretos - golpear los puntos finales internos … Entonces, un endpoint público no autenticado es básicamente "por favor, toma el control de mi bot". Esto no es teórico. Internet es un escáner sin parar. Arréglalo hoy: 1) cerrar el puerto/cortafuegos a VPN o lista de permisos IP 2) añadir autenticación (JWT/OAuth, al menos un secreto fuerte) + TLS 3) rotar las teclas (asumir compromiso) 4) límite de velocidad + logs + alertas Los agentes son poderosos. Los despliegues de nivel demo en internet abierto no lo son.

¿Qué puedes hacer para estar mucho más protegido? #### 1. Conceptos básicos de despliegue y alojamiento - Correr en modo sandboxed - Utilizar un dispositivo o máquina virtual dedicada - Autoanfitriona privada #### 2. Control de Red y Acceso - Evitar la exposición pública - Protección contra cortafuegos y fuerza bruta - Desactivar mDNS si no es necesario - Configurar proxies confiables #### 3. Gestión de credenciales y secretos - Gestores de Secretos de Uso - Nunca compartir archivos sensibles - Principio de Privilegio Mínimo #### 4. Gestión de Datos y Privacidad - Tratar las conversaciones como sensibles - Usar .clawdignore con cuidado - Barandillas de Inyección Inmediata #### 5. Monitoreo y Respuesta a Incidentes - Monitorización regular - Plan de incidentes - Actualizaciones automáticas y auto-mejora

"Red de Garras"

Le pedí a Clawdbot que me consiguiera cosas gratis, y hasta ahora me ha dado un número de cuentas de dos dígitos de Netflix y Spotify, y un montón de cuentas bancarias de otros usuarios de Clawdbot. 😂

Las 10 principales vulnerabilidades y soluciones sugeridas-

😎😎😎

Cabe destacar que Clawdbot soporta 'Modo: Local' (sin puertos expuestos) y 'auth.Mode: Token' desde el primer momento, ¡úsalo!

Mucha gente me cuenta que, después de preguntarle a Clawd por esos agujeros de seguridad, detectó y corrigió algunos de ellos; es un poco irónico, pero merece la pena comprobarlo.