romfast/clawd
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
4083d615ff29d452a9260bc6402b4beb55a6caf1
clawd/notes/youtube/2026-01-29_clawdbot-security-vulnerabilities.md
Echo f371f579a1 Ecosistem multi-agent complet 
- SOUL-base.md partajat pentru toți agenții
- 5 agenți specializați: work, health, growth, sprijin, scout
- Fiecare agent cu SOUL.md, TOOLS.md, USER.md, AGENTS.md proprii
- Symlinks pentru resurse partajate (notes/, kanban/, projects/)
- Tags de domeniu (@work, @health, etc.) în YouTube notes
- Script update_notes_index.py îmbunătățit cu domenii
- HEARTBEAT.md cu verificări periodice
- Grup sprijin pagină și fișe activități
- Cleanup: șters agents/echo/ orfan
2026-01-30 13:46:57 +00:00

2.9 KiB
Raw Blame History

It Got Worse (Clawdbot) - Security Vulnerabilities

Video: https://youtu.be/rPAKq2oQVBs Duration: 10:25 Saved: 2026-01-29 Tags: #clawdbot #security #vulnerabilities #hacking @work

📋 TL;DR

Video critic despre vulnerabilitățile de securitate ale Clawdbot - sute/mii de instanțe au fost compromise. Probleme principale: porturi default, parole lipsă, reverse proxy misconfigurat, skills malițioase pe ClaudHub.

🚨 Problemele Descoperite

1. Expunere publică pe Shodan

  • Servicii ca Shodan scanează toate URL-urile publice
  • Căutând "Clawdbot control" găsești mii de servere expuse
  • Click pe link → acces la control panel-ul cuiva

2. Vulnerabilitate Nginx Reverse Proxy

  • Dacă folosești Nginx ca reverse proxy → acces COMPLET la control panel
  • Poți citi toate mesajele trimise/primite
  • Acces la toate skills, config, API keys
  • Un hacker (Jameson) a demonstrat identificând complet un user

3. Supply Chain Attack pe ClaudHub/MoltHub

  • Oricine poate urca skills malițioase
  • Ranking bazat naiv pe download count (ușor de manipulat)
  • Jameson a creat un skill backdoor cu 4000+ downloads fake
  • Skill-ul putea fura toate API tokens

Recomandări de Securitate

Infrastructure

  1. Schimbă portul default (18789)

    • Folosește un port random (ex: 44892)
    • Evită: 443, 80, 8080, 3000

  2. Setează parole!

    • Nu lăsa câmpurile goale
    • Majoritatea instanțelor au parolă default, dar verifică

  3. Updatează Clawdbot

    • Versiunile noi patch-uiesc vulnerabilitatea Nginx
    • Nu există auto-update, trebuie manual

  4. Configurează gateway.trustedProxies

    • Esențial dacă folosești Nginx/Caddy reverse proxy
    • Fără asta → oricine e tratat ca localhost

  5. Folosește Tailscale sau VPN

    • Cel mai sigur mod de a expune serviciul
    • Noi folosim deja Tailscale Serve!

  6. Rotește API keys

    • Dacă ai expus deja → schimbă toate cheile

Skills/Plugins

  1. Nu te baza pe download count

    • Ușor de manipulat

  2. Citește TOATE fișierele unui skill înainte de instalare

    • Sau folosește alt AI să le verifice

  3. Verifică autorul

    • GitHub cu commit history real
    • Prezență verificabilă pe social media

  4. Tratează ClaudHub ca npm în early days

    • Nimic nu e vetted
    • Presupune că fiecare package vrea să te fure

🔒 Status-ul Nostru

Check Status
Tailscale Serve (nu Funnel public)
Parolă/Token setat
Port non-default (folosim 18789)
trustedProxies configurat

💡 Acțiuni Recomandate

  • Schimbă portul din 18789 în ceva random
  • Verifică configurația trustedProxies
  • Review skills instalate
  • Rotește API keys (precauție)

🔗 Resurse