🚨 Gerçek bir vaka uyarısı: OpenClaw'a yeni başlayan biri, kredi kartının kaybedilmesinin arkasında on binlerce geliştiricinin bastığı süper bir çukur var! Istakoz kullanan bir arkadaşımı gördüğümde, iki gün önce aniden bankadan bir mesaj aldım: Kredi kartı limiti doğrudan maksimumda doldu! Kayıtlara baktığımda, suçlunun aslında birkaç gün önce dağıttığım OpenClaw olduğunu gördüm. OpenClaw kullanarak bir otomasyon betiği yazdı, Chrome tarayıcısını noVNC üzerinden halka açık ağa açtı (port doğrudan eşlenmiş) ve tarayıcı otomasyonunu uzaktan hata ayıklamak istedi. Sonuç ne oldu? Chrome'da kaydedilen ödeme yöntemleri, çerezler ve otomatik doldurma kredi kartı bilgileri hepsi kamuya açık "ATM" haline geldi. Saldırgan, açığa çıkan VNC örneğini taradı ve kartı dakikalar içinde flaş etti. Bu tek başına bir durum değil, sistemik bir güvenlik felaketi. OpenClaw'ın varsayılan davranışı (kum havuzu tarayıcı girişi dahil) hizmeti 0.0.0.0'a (tüm ağ arayüzleri) bağlamaktır ve x11vnc'nin önceki sürümü aslında -nopw (şifresiz kimlik doğrulama!) kullanır. Docker çalıştırırken --network host eklemediğinizde veya yayın sürümünü açıkça kısıtlamadığınızda, tüm tarayıcı masaüstünü doğrudan genel ağa atmakla eşdeğerdir. GitHub'da bir güvenlik danışmanı (GHSA-25gx-x37c-7pph) var ve Canvas ana sunucusu da doğrulama olmadan varsayılan olarak 0.0.0.0 kullanıyor; son güvenlik araştırmaları ise doğrudan 220.000+ OpenClaw örneği taradı. Hackerlar Shodan ile arama yaptı ve tarayıcı oturumları birkaç dakika içinde broylerlere dönüştü - ödeme bilgileriyle Chrome daha da ölümcüldü. Herhangi bir ajan aracını ilk günden itibaren demir bir kural koydum: Servisin 0.0.0.0'ı dinlemesine asla izin vermeyin! Doğru duruş (doğrudan kopyalama şiddetle tavsiye edilir): ''Parti # 1. Hizmet başladığında, yalnızca yerel olarak bağlanmak zorunda kalır --127.0.0.1 # dinle veya config'de bindHost'u 127.0.0.1'e değiştir # 2. Asla açık metin port eşlemesi kullanmayın, şifreli tünel kullanın ssh -L 5900:127.0.0.1:5900 user@your-sunucu #VNC tünel # Ya da daha zarif: # Tailscale / WireGuard / Cloudflare Tüneli / frp (Şifreleme + Sıfır Güven) # 3. Güvenlik Duvarı + Kendi Kendine Kontrol Komutu (her gün çalışmalı) ss -tlnp | grep -E '5900|9090|18789' # 0.0.0.0 olup olmadığını kontrol et UFW Deny 5900 # Kamu ağını doğrudan yasakla...