Актуальні теми
#
Bonk Eco continues to show strength amid $USELESS rally
Hosico
Hosico+2,91%
USELESS
USELESS+5,41%
IKUN
IKUN+0,98%
gib
gib+1,21%
#
Pump.fun to raise $1B token sale, traders speculating on airdrop
Bonk
Bonk+2,17%
ALON
ALON-10,18%
LAUNCHCOIN
LAUNCHCOIN+1,83%
GOONC
GOONC+4,83%
KLED
KLED-9,31%
#
Boop.Fun leading the way with a new launchpad on Solana.
BOOP
BOOP-2,58%
Boopa
Boopa+3,43%
PORK
PORK0,00%
Itamar Golan 🤓
Itamar Golan 🤓
12 годин тому·
Наближається катастрофа. Тисячі ClawdBots зараз живі на VPS... з відкритими портами в інтернет... і нульової автентифікації. Це буде неприємно. Якщо ваш агент може: - Перегляд інтернету - інструменти викликів - файли доступу/секрети - влучити у внутрішні кінцеві точки … Тоді неавтентифікована публічна кінцева точка — це фактично «будь ласка, захопіть мого бота». Це не теорія. Інтернет — це безперервний сканер. Виправте це вже сьогодні: 1) закрити порт/фаєрвол до VPN або списку дозволів IP 2) додати автентифікацію (JWT/OAuth, принаймні сильний секрет) + TLS 3) обертати клавіші (припускайте компроміси) 4) ліміт тарифу + журнали + сповіщення Агенти потужні. Демо-класні розгортання у відкритому інтернеті — ні.
Що ви можете зробити, щоб бути набагато більш захищеними? #### 1. Основи розгортання та хостингу - Запуск у режимі пісочниці - Використання спеціалізованого пристрою або віртуальної машини - Приватне ведення #### 2. Контроль мережі та доступу - Уникати публічного впливу - Файрвол і захист від грубої сили - Вимкнути mDNS, якщо це не потрібно - Налаштувати довірені проксі #### 3. Управління кваліфікаціями та секретами - Використання менеджерів секретів - Ніколи не ділитися конфіденційними файлами - Принцип найменшого привілею #### 4. Обробка даних і конфіденційності - Ставитися до розмов як до чутливих - Використовуйте .clawdignore обережно - Відбійники швидкого впорскування #### 5. Моніторинг та реагування на інциденти - Регулярний моніторинг - План інциденту - Автоматичні оновлення та самовдосконалення
"ClawdNet"
Я попросив Clawdbot надати мені безкоштовні речі, і поки що мені набрали двозначну кількість акаунтів Netflix і Spotify, а також купу банківських рахунків інших користувачів Clawdbot. 😂
Топ-10 вразливостей і запропоновані виправлення-
😎😎😎
Варто зазначити: Clawdbot підтримує 'mode: local' (без відкритих портів) та 'auth.mode: token' одразу з коробки — використовуйте його!
Багато людей повідомляють мені, що після того, як вони запитали Clawd про ці прогалини в безпеці, він виявив і виправив деякі з них — трохи іронічно, але варто перевірити.
400