# It Got Worse (Clawdbot) - Security Vulnerabilities

**Video:** https://youtu.be/rPAKq2oQVBs
**Duration:** 10:25
**Saved:** 2026-01-29
**Tags:** #clawdbot #security #vulnerabilities #hacking

---

## 📋 TL;DR

Video critic despre vulnerabilitățile de securitate ale Clawdbot - sute/mii de instanțe au fost compromise. Probleme principale: porturi default, parole lipsă, reverse proxy misconfigurat, skills malițioase pe ClaudHub.

---

## 🚨 Problemele Descoperite

### 1. Expunere publică pe Shodan
- Servicii ca Shodan scanează toate URL-urile publice
- Căutând "Clawdbot control" găsești mii de servere expuse
- Click pe link → acces la control panel-ul cuiva

### 2. Vulnerabilitate Nginx Reverse Proxy
- Dacă folosești Nginx ca reverse proxy → acces COMPLET la control panel
- Poți citi toate mesajele trimise/primite
- Acces la toate skills, config, API keys
- Un hacker (Jameson) a demonstrat identificând complet un user

### 3. Supply Chain Attack pe ClaudHub/MoltHub
- Oricine poate urca skills malițioase
- Ranking bazat naiv pe download count (ușor de manipulat)
- Jameson a creat un skill backdoor cu 4000+ downloads fake
- Skill-ul putea fura toate API tokens

---

## ✅ Recomandări de Securitate

### Infrastructure
1. **Schimbă portul default (18789)**
   - Folosește un port random (ex: 44892)
   - Evită: 443, 80, 8080, 3000

2. **Setează parole!**
   - Nu lăsa câmpurile goale
   - Majoritatea instanțelor au parolă default, dar verifică

3. **Updatează Clawdbot**
   - Versiunile noi patch-uiesc vulnerabilitatea Nginx
   - Nu există auto-update, trebuie manual

4. **Configurează `gateway.trustedProxies`**
   - Esențial dacă folosești Nginx/Caddy reverse proxy
   - Fără asta → oricine e tratat ca localhost

5. **Folosește Tailscale sau VPN**
   - Cel mai sigur mod de a expune serviciul
   - ✅ **Noi folosim deja Tailscale Serve!**

6. **Rotește API keys**
   - Dacă ai expus deja → schimbă toate cheile

### Skills/Plugins
1. **Nu te baza pe download count**
   - Ușor de manipulat

2. **Citește TOATE fișierele unui skill înainte de instalare**
   - Sau folosește alt AI să le verifice

3. **Verifică autorul**
   - GitHub cu commit history real
   - Prezență verificabilă pe social media

4. **Tratează ClaudHub ca npm în early days**
   - Nimic nu e vetted
   - Presupune că fiecare package vrea să te fure

---

## 🔒 Status-ul Nostru

| Check | Status |
|-------|--------|
| Tailscale Serve (nu Funnel public) | ✅ |
| Parolă/Token setat | ✅ |
| Port non-default | ❓ (folosim 18789) |
| trustedProxies configurat | ❓ |

---

## 💡 Acțiuni Recomandate

- [ ] Schimbă portul din 18789 în ceva random
- [ ] Verifică configurația trustedProxies
- [ ] Review skills instalate
- [ ] Rotește API keys (precauție)

---

## 🔗 Resurse

- Video: https://youtu.be/rPAKq2oQVBs
- Jameson (security researcher) - white hat care a descoperit vulnerabilitățile