灾难即将来临。 成千上万的 ClawdBots 现在正在 VPS 上运行……对互联网开放端口……且没有任何认证。 这将变得很糟糕。 如果你的代理可以： - 浏览网页 - 调用工具 - 访问文件/秘密 - 访问内部端点 ……那么一个未认证的公共端点基本上就是“请接管我的机器人”。 这不是理论。互联网是一个不停扫描的机器。 今天就修复它： 1) 关闭端口 / 防火墙，使用 VPN 或 IP 白名单 2) 添加认证 (JWT/OAuth，至少使用强密码) + TLS 3) 轮换密钥 (假设已被攻破) 4) 限制速率 + 日志 + 警报 代理是强大的。在开放互联网中的演示级部署并不可取。

你可以做些什么来提高保护措施？ #### 1. 部署和托管基础 - 以沙盒模式运行 - 使用专用设备或虚拟机 - 私下自托管 #### 2. 网络和访问控制 - 避免公共暴露 - 防火墙和暴力破解保护 - 如果不需要，禁用 mDNS - 配置受信任的代理 #### 3. 凭证和秘密管理 - 使用秘密管理器 - 永远不要分享敏感文件 - 最小权限原则 #### 4. 数据和隐私处理 - 将对话视为敏感 - 小心使用 .clawdignore - 提示注入保护措施 #### 5. 监控和事件响应 - 定期监控 - 事件计划 - 自动更新和自我改进

“ClawdNet”

我让Clawdbot帮我获取免费东西，到目前为止它已经给我弄到了双位数的Netflix和Spotify账户，还有一堆属于其他Clawdbot用户的银行账户。😂

十大漏洞及建议修复措施-

😎😎😎

值得注意的是：Clawdbot 支持 `mode: local`（没有暴露的端口）和 `auth.mode: token`，开箱即用 - 使用它！

许多人向我报告，在他们询问Clawd关于那些安全漏洞后，它检测并修复了一些漏洞——有点讽刺，但值得检查。