これはあまりにも恐ろしく、週末にClawdbotを使って7,922回も攻撃されました。 今週は数百台のClawdbotサーバーがオープンインターネットにさらされています。資格のダンプ。APIキーは平文で使われます。多くの人が見落としているのは、あなたがエージェントの唯一の意見ではないということです。読むメールも、招待カレンダーも、訪れるウェブページも、誰かが書いた内容です。見知らぬ人からDMが来る?それがシェルアクセス可能なシステムへの入力となります。 もし使うなら、契約社員のオンボーディングのように扱いましょう。専用マシンかVPSか。別々のアカウントを作ってください。最初は最小限の権限で始めます。Tailscaleの背後で動かして、公共のインターネットに露出させないようにしてください。Clawdbot Doctorを定期的に動かして、自然に直らせてください。 より大きな考えは、エージェントには自分自身のアイデンティティが必要だということです。自分のデバイス、自分のアカウント、所有の認証情報。あなたのに便乗するつもりはありません。 また、Mac Miniを買うのはやめてください。AWSの無料プランでも5分か5ドルのVPSで動かせます。