🚨 Opravdové varování: Nováček v OpenClaw, za vykradením kreditní karty je obrovská jáma, na kterou šlapou desítky tisíc vývojářů! Když jsem viděl kamaráda, který používá humra, najednou mi před dvěma dny přišla bankovní SMS: Limit na kreditní kartě byl přímo vykročen! Když jsem zkontroloval záznamy, zjistil jsem, že viníkem je vlastně OpenClaw, který jsem nasadil teprve před pár dny. Napsal automatizační skript pomocí OpenClaw a zpřístupnil prohlížeč Chrome veřejné síti přes noVNC (port je přímo mapován) a chtěl automatizaci prohlížeče ladit na dálku. Výsledek? Platební metody, cookies a automatické vyplňování údajů o kreditních kartách uložené v Chromu se všechny staly veřejnými "bankomaty". Útočník naskenoval vystavenou instanci VNC a během několika minut flashoval kartu. Nejde o ojedinělý případ, jde o systémovou bezpečnostní katastrofu. Výchozím chováním OpenClaw (včetně vstupu do sandboxového prohlížeče) je vázat službu na 0.0.0.0 (všechna síťová rozhraní) a dřívější verze x11vnc skutečně používala -nopw (autentizace bez hesla!). Jakmile nepřidáte --network host nebo explicitně neomezíte publikování při dockeru, je to ekvivalentní tomu, jako byste celý prohlížeč přímo přenesli do veřejné sítě. Na GitHubu je bezpečnostní upozornění (GHSA-25gx-x37c-7pph) a Canvas server také automaticky používá verzi 0.0.0.0 bez autentizace, přičemž nedávný bezpečnostní výzkum přímo naskenoval 220 000+ vystavených instancí OpenClaw. Hackeři prohledávali pomocí Shodan a instance s prohlížečovými relacemi se během minut změnily v brojlery – Chrome s platebními informacemi byl ještě smrtelnější. Od prvního dne, kdy jsem nasadil jakýkoli agent nástroj, jsem si stanovil pevné pravidlo: Nikdy nedovolte, aby služba poslouchala 0.0.0.0! Správné držení těla (přímé kopírování je velmi doporučeno): "Bash # 1. Když služba začne, je nucena vázat pouze lokálně --poslouchejte 127.0.0.1 # nebo změňte bindHost na 127.0.0.1 v konfiguraci # 2. Nikdy nepoužívejte mapování portů v otevřeném textu, používejte šifrované tunelování ssh -L 5900:127.0.0.1:5900 user@your-server #VNC tunnel # Nebo elegantnější: # Tailscale / WireGuard / Cloudflare tunel / frp (šifrování + zero trust) # 3. Firewall + příkaz pro samokontrolu (musí běžet každý den) SS -TLNP | grep -E '5900|9090|18789' # Zkontroluj, jestli je 0.0.0.0 UFW Odmítnout 5900 # Přímo zakázat veřejnou síť...