🚨 Todellinen varoitus: OpenClaw'n aloittelija, luottokortin varastamisen takana on superkuilu, johon kymmenet tuhannet kehittäjät astuvat! Kun tapasin ystävää, joka käyttää hummeria, sain yhtäkkiä pankkiviestin kaksi päivää sitten: Luottokorttiraja oli suoraan maksimissa! Tarkistaessani lokit huomasin, että syyllinen oli itse asiassa OpenClaw, jonka olin juuri ottanut käyttöön muutama päivä sitten. Hän kirjoitti automaatioskriptin OpenClaw'lla ja avasi Chrome-selaimen julkiselle verkolle noVNC:n kautta (portti on suoraan kartoitettu), ja halusi debugata selaimen automaation etänä. Mikä on tulos? Maksutavat, evästeet ja automaattisesti tallennetut luottokorttitiedot ovat kaikki muuttuneet julkisiksi "automaateiksi". Hyökkääjä skannasi paljastuneen VNC-instanssin ja väläytti kortin muutamassa minuutissa. Tämä ei ole yksittäistapaus, vaan järjestelmällinen tietoturvakatastrofi. OpenClaw'n oletustoiminto (mukaan lukien hiekkalaatikkoselaimen sisäänkäynti) on sitoa palvelu 0.0.0.0:aan (kaikki verkkorajapinnat), ja aiempi x11vnc-versio käytti itse asiassa -nopw (salasanaton tunnistautuminen!). Kun et lisää --network hostia tai rajoita julkaisua dockerin aikana, se vastaa koko selaimen työpöydän siirtämistä suoraan julkiseen verkkoon. GitHubissa on tietoturvatiedote (GHSA-25gx-x37c-7pph), ja Canvas-isäntäpalvelin käyttää oletuksena 0.0.0.0 ilman tunnistautumista, ja viimeaikaiset tietoturvatutkimukset ovat suoraan skannanneet 220 000+ OpenClaw-instanssia. Hakkerit etsivät Shodanilla, ja selainistunnot muuttuivat broilereiksi muutamassa minuutissa – maksutietojen Chrome-versio oli vieläkin vaarallisempi. Ensimmäisestä päivästä lähtien, kun otin käyttöön minkä tahansa agenttityökalun, asetin rautaisen säännön: Älä koskaan anna palvelun kuunnella 0.0.0.0:aa! Oikea ryhti (suora kopiointi on erittäin suositeltavaa): ''Juhla'' # 1. Kun palvelu alkaa, se pakotetaan sitoutumaan vain paikallisesti --kuuntele 127.0.0.1 # tai vaihda bindHost muotoon 127.0.0.1 konfiguraatiossa # 2. Älä koskaan käytä selväkielistä porttikartoitusta, käytä salattua tunnelointia ssh -L 5900:127.0.0.1:5900 user@your-server #VNC tunneli # Tai tyylikkäämpi: # Tailscale / WireGuard / Cloudflare Tunnel / frp (Salaus + Zero Trust) # 3. Palomuuri + itsetarkistuskomento (täytyy suorittaa joka päivä) ss -tlnp | grep -E '5900|9090|18789' # Katso onko olemassa 0.0.0.0 UFW Deny 5900 # Suora julkisen verkon kieltäminen...