🚨 Avertisment de caz real: Un începător în OpenClaw, în spatele cardului de credit care este scos se află o groapă pe care calcă zeci de mii de dezvoltatori! Văzând un prieten care folosește homar, am primit brusc un mesaj de la bancă acum două zile: Limita cardului de credit era direct maximă! Verificând jurnalele, am descoperit că vinovatul era de fapt OpenClaw, pe care îl implementasem cu câteva zile în urmă. A scris un script de automatizare folosind OpenClaw și a expus browserul Chrome rețelei publice prin noVNC (portul este mapat direct) și a dorit să depaneze automatizarea browserului de la distanță. Rezultatul? Metodele de plată, cookie-urile și informațiile de pe cardul de credit salvate în Chrome au devenit toate "bancomate" publice. Atacatorul a scanat instanța VNC expusă și a flash-uit cardul în câteva minute. Acesta nu este un caz izolat, ci un dezastru sistemic de securitate. Comportamentul implicit al OpenClaw (inclusiv intrarea browserului sandbox) este de a lega serviciul la 0.0.0.0 (toate interfețele de rețea), iar versiunea anterioară a x11vnc folosea de fapt -nopw (autentificare fără parolă!). Odată ce nu adaugi --network host sau restricționezi explicit publicarea când rulezi docker-ul, este echivalent cu a arunca întregul desktop al browserului direct în rețeaua publică. Există un avertisment de securitate (GHSA-25gx-x37c-7pph) pe GitHub, iar serverul gazdă Canvas este de asemenea implicit la 0.0.0.0 fără autentificare, iar cercetările recente de securitate au scanat direct 220.000+ de instanțe OpenClaw expuse. Hackerii căutau cu Shodan, iar instanțele cu sesiuni de browser se transformau în prăji de carne în câteva minute – Chrome cu informații de plată era și mai mortal. Din prima zi, când am implementat orice instrument de agent, am stabilit o regulă de fier: Nu lăsa niciodată serviciul să asculte 0.0.0.0! Postură corectă (copierea directă este foarte recomandată): '''bash # 1. Când serviciul începe, este forțat să se lege doar local --ascultă 127.0.0.1 # sau schimbă bindHost la 127.0.0.1 în configurație # 2. Nu folosiți niciodată maparea porturilor în text clar, folosiți tunelarea criptată ssh -L 5900:127.0.0.1:5900 user@your-server #VNC tunel # Sau mai elegant: # Tailscale / WireGuard / Cloudflare Tunnel / frp (Criptare + Zero Trust) # 3. Firewall + comandă de auto-verificare (trebuie să ruleze zilnic) SS -TLNP | grep -E '5900|9090|18789' # Vezi dacă există 0.0.0.0 UFW Refuză 5900 # Interzicere direct rețeaua publică...