clawd/memory/kb/youtube/2026-02-12_matt-ganzak-locked-down-openclaw.md

# I Locked Down My OpenClaw in 30 Minutes — Here's Every Step

**Video:** https://youtu.be/m_I8J0U-BIY
**Channel:** Matt Ganzak
**Duration:** 19:41
**Saved:** 2026-02-12
**Tags:** #openclaw #security #hardening #tutorial #devops @work

---

## 📋 TL;DR

Matt Ganzak a trecut de la 3 vulnerabilități critice la o instanță OpenClaw complet securizată într-o singură sesiune de 30 de minute. Problemele principale: API keys expuse, wildcard CORS, zero rate limiting, fără cost circuit breakers. Ghid pas cu pas cu copy-paste prompts pentru fiecare secțiune. Include prevenirea facturilor surpriză de $3,000+.

---

## 🎯 Concepte Principale

### Probleme comune de securitate OpenClaw
- **API keys expuse** - stored in plain text, accesibile oricui cu acces la instanță
- **Wildcard CORS** - permite request-uri din orice origin
- **Zero rate limiting** - fără protecție la abuz
- **Fără cost circuit breakers** - risc de facturi uriașe ($3,000+)

### Pași de securizare (30 minute)
- Securizare credentials și API keys
- Configurare CORS restrictiv
- Implementare rate limiting
- Setup cost circuit breakers / buget limits
- Hardening general al instanței

### Best Practices
- Fiecare secțiune include prompts copy-paste
- Verificare după fiecare pas
- Testare că funcționalitatea rămâne intactă după hardening

---

## 💡 Quote-uri Importante

> "Most OpenClaw deployments are running with exposed API keys, wildcard CORS, zero rate limiting, and no cost circuit breakers."

> "That's how people wake up to $3,000+ surprise bills."

> "I went from 3 critical security holes to fully hardened in one session."

---

## ✅ Aplicații Practice

- [ ] Verifică: API keys nu sunt expuse în config
- [ ] Verifică: CORS nu e wildcard
- [ ] Verifică: Rate limiting e activ
- [ ] Verifică: Cost limits / circuit breakers configurate
- [ ] Rulează security audit periodic (avem deja cron job 07:00)