災厄が迫っている。 現在VPSで何千ものClawdbotsが稼働中です...インターネットへのオープンポートで...認証はゼロです。 これはひどいことになるぞ。 もしあなたの代理人ができるなら: - ウェブ閲覧 - 呼び出しツール - アクセスファイル/秘密 - 内部エンドポイントに当たります …認証されていないパブリックエンドポイントは基本的に「私のボットを乗っ取ってください」と言われます。 これは理論的な話ではありません。インターネットは止まらないスキャンです。 今日修正しましょう: 1) VPNまたはIP許可リストへのポート/ファイアウォールを閉じる 2) 認証の追加(JWT/OAuth、少なくとも強力な秘密)+ TLS 3) キーの回転(妥協を前提とする) 4) レート制限+ログ+アラート エージェントは強力です。オープンインターネット上のデモグレードの導入はそうではありません。

もっと守られるためにできることは何でしょうか? #### 1.展開とホスティングの基本 - サンドボックスモードでの実行 - 専用デバイスまたはVMを使用する - プライベートでセルフホスト #### 2.ネットワークおよびアクセス制御 - 公の場での露出を避ける - ファイアウォールおよびブルートフォース保護 - 不要な場合mDNSを無効にする - 信頼できるプロキシの設定 #### 3.資格と秘密管理 - シークレットマネージャーの使用 - 機密ファイルは絶対に共有しない - 最小特権原則 #### 4.データおよびプライバシーの取り扱い - 会話をセンシティブに扱う - .clawdignore Careful を使用してください - プロンプトインジェクションガードレール #### 5.モニタリングとインシデント対応 - 定期的なモニタリング - インシデントプラン - 自動更新と自己改善

「クロウドネット」

Clawdbotに無料のものをもらうよう頼んだところ、今のところNetflixとSpotifyのアカウント数が二桁増え、他のClawdbotユーザーの銀行口座もたくさん手に入れました。😂

トップ10の脆弱性と提案された修正案

😎😎😎

注目すべきは、Clawdbotは「mode: local」(ポートが公開されていない)と「auth.mode: token」を標準でサポートしているということです。ぜひ活用してください!

多くの人が、Clawdにセキュリティホールについて尋ねたところ、いくつかを検出・修正したと報告しています。少し皮肉ですが、確認する価値はあります。