🚨 Peringatan kasus berdarah nyata: Seorang pemula di OpenClaw, di balik kartu kredit yang digesek keluar adalah lubang super yang diinjak puluhan ribu pengembang! Melihat seorang teman yang menggunakan lobster, saya tiba-tiba menerima pesan teks bank dua hari yang lalu: Batas kartu kredit langsung dimaksimalkan! Memeriksa log, saya menemukan bahwa pelakunya sebenarnya adalah OpenClaw, yang baru saja saya terapkan beberapa hari yang lalu. Dia menulis skrip otomatisasi menggunakan OpenClaw, dan mengekspos browser Chrome ke jaringan publik melalui noVNC (port langsung dipetakan), dan ingin men-debug otomatisasi browser dari jarak jauh. Hasilnya? Metode pembayaran, cookie, dan informasi kartu kredit isi otomatis yang disimpan di Chrome semuanya telah menjadi "ATM" publik. Penyerang memindai instans VNC yang terbuka dan mem-flash kartu dalam hitungan menit. Ini bukan kasus yang terisolasi, ini adalah bencana keamanan sistemik. Perilaku default OpenClaw (termasuk pintu masuk browser kotak pasirnya) adalah mengikat layanan ke 0.0.0.0 (semua antarmuka jaringan), dan versi x11vnc sebelumnya benar-benar menggunakan -nopw (autentikasi tanpa kata sandi!). Setelah Anda tidak menambahkan --network host atau secara eksplisit membatasi publikasi saat Anda menjalankan buruh pelabuhan, itu setara dengan membuang seluruh desktop browser langsung ke jaringan publik. Ada penasihat keamanan (GHSA-25gx-x37c-7pph) di GitHub, dan server host Canvas juga default ke 0.0.0.0 tanpa otentikasi, dan penelitian keamanan baru-baru ini telah langsung memindai 220.000+ instans OpenClaw yang terekspos. Peretas mencari dengan Shodan, dan instance dengan sesi browser berubah menjadi ayam pedaging dalam hitungan menit - Chrome dengan informasi pembayaran bahkan lebih mematikan. Sejak hari pertama menyebarkan alat agen apa pun, saya menetapkan aturan besi: Jangan biarkan layanan mendengarkan 0.0.0.0! Postur tubuh yang benar (penyalinan langsung sangat disarankan): '''Bash # 1. Saat layanan dimulai, layanan dipaksa untuk mengikat hanya secara lokal --listen 127.0.0.1 # atau ubah bindHost ke 127.0.0.1 di config # 2. Jangan pernah menggunakan pemetaan port teks biasa, gunakan kanalisasi terenkripsi ssh -L 5900:127.0.0.1:5900 terowongan #VNC server user@your # Atau lebih elegan: # Tailscale / WireGuard / Cloudflare Tunnel / frp (Enkripsi + Zero Trust) # 3. Firewall + perintah pemeriksaan mandiri (harus berjalan setiap hari) ss -tlnp | grep -E '5900|9090|18789' # Lihat apakah ada 0.0.0.0 UFW Tolak 5900 # Langsung melarang jaringan publik...