災難即將來臨。 成千上萬的 ClawdBots 目前正在 VPS 上運行……對互聯網開放端口……且沒有任何身份驗證。 這將變得很糟糕。 如果你的代理可以： - 瀏覽網頁 - 調用工具 - 訪問文件/秘密 - 訪問內部端點 ……那麼一個未經身份驗證的公共端點基本上就是「請接管我的機器人」。 這不是理論。互聯網是一個不斷掃描的工具。 今天就修復它： 1) 關閉端口 / 防火牆，使用 VPN 或 IP 白名單 2) 添加身份驗證（JWT/OAuth，至少要有一個強密碼） + TLS 3) 旋轉密鑰（假設已被攻擊） 4) 限制速率 + 日誌 + 警報 代理是強大的。在公開互聯網上的演示級部署並不安全。

你可以做什麼來提高保護？ #### 1. 部署和託管基礎 - 在沙盒模式下運行 - 使用專用設備或虛擬機 - 私下自我託管 #### 2. 網絡和訪問控制 - 避免公共暴露 - 防火牆和暴力破解保護 - 如果不需要，禁用 mDNS - 配置受信任的代理 #### 3. 憑證和秘密管理 - 使用秘密管理器 - 絕不要分享敏感文件 - 最小權限原則 #### 4. 數據和隱私處理 - 將對話視為敏感 - 小心使用 .clawdignore - 提示注入防護 #### 5. 監控和事件響應 - 定期監控 - 事件計劃 - 自動更新和自我改進

“ClawdNet”

我請Clawdbot幫我獲取免費的東西，到目前為止它已經幫我獲得了雙位數的Netflix和Spotify帳戶，以及一堆屬於其他Clawdbot用戶的銀行帳戶。😂

十大漏洞及建議修復措施-

😎😎😎

值得注意的是：Clawdbot 支援 `mode: local`（無暴露端口）和 `auth.mode: token`，這是開箱即用的 - 使用它！

許多人向我報告，當他們詢問 Clawd 關於那些安全漏洞時，它檢測並修復了一些漏洞——這有點諷刺，但值得檢查。