romfast/clawd
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
bcfa0fc2b9d83fa356d6accb47ea4c937ca61678
clawd/memory/kb/youtube/2026-01-29_clawdbot-security-vulnerabilities.md
Echo 10fb3d6fb5 refactor: mutat kb/ -> memory/kb/ pentru memory search 
- Mutat toate fișierele din kb/ în memory/kb/
- Actualizat toate referințele în fișiere (.md, .py, .html)
- Actualizat 10 joburi cron cu noi căi
- Memory search indexează acum 58 fișiere din memory/
- TOOLS.md actualizat cu documentație completă
2026-02-01 21:18:45 +00:00

104 lines
2.9 KiB
Markdown
Raw Blame History

# It Got Worse (Clawdbot) - Security Vulnerabilities
**Video:** https://youtu.be/rPAKq2oQVBs
**Duration:** 10:25
**Saved:** 2026-01-29
**Tags:** #clawdbot #security #vulnerabilities #hacking @work
---
## 📋 TL;DR
Video critic despre vulnerabilitățile de securitate ale Clawdbot - sute/mii de instanțe au fost compromise. Probleme principale: porturi default, parole lipsă, reverse proxy misconfigurat, skills malițioase pe ClaudHub.
---
## 🚨 Problemele Descoperite
### 1. Expunere publică pe Shodan
- Servicii ca Shodan scanează toate URL-urile publice
- Căutând "Clawdbot control" găsești mii de servere expuse
- Click pe link → acces la control panel-ul cuiva
### 2. Vulnerabilitate Nginx Reverse Proxy
- Dacă folosești Nginx ca reverse proxy → acces COMPLET la control panel
- Poți citi toate mesajele trimise/primite
- Acces la toate skills, config, API keys
- Un hacker (Jameson) a demonstrat identificând complet un user
### 3. Supply Chain Attack pe ClaudHub/MoltHub
- Oricine poate urca skills malițioase
- Ranking bazat naiv pe download count (ușor de manipulat)
- Jameson a creat un skill backdoor cu 4000+ downloads fake
- Skill-ul putea fura toate API tokens
---
## ✅ Recomandări de Securitate
### Infrastructure
1. **Schimbă portul default (18789)**
- Folosește un port random (ex: 44892)
- Evită: 443, 80, 8080, 3000
2. **Setează parole!**
- Nu lăsa câmpurile goale
- Majoritatea instanțelor au parolă default, dar verifică
3. **Updatează Clawdbot**
- Versiunile noi patch-uiesc vulnerabilitatea Nginx
- Nu există auto-update, trebuie manual
4. **Configurează `gateway.trustedProxies`**
- Esențial dacă folosești Nginx/Caddy reverse proxy
- Fără asta → oricine e tratat ca localhost
5. **Folosește Tailscale sau VPN**
- Cel mai sigur mod de a expune serviciul
-**Noi folosim deja Tailscale Serve!**
6. **Rotește API keys**
- Dacă ai expus deja → schimbă toate cheile
### Skills/Plugins
1. **Nu te baza pe download count**
- Ușor de manipulat
2. **Citește TOATE fișierele unui skill înainte de instalare**
- Sau folosește alt AI să le verifice
3. **Verifică autorul**
- GitHub cu commit history real
- Prezență verificabilă pe social media
4. **Tratează ClaudHub ca npm în early days**
- Nimic nu e vetted
- Presupune că fiecare package vrea să te fure
---
## 🔒 Status-ul Nostru
| Check | Status |
|-------|--------|
| Tailscale Serve (nu Funnel public) | ✅ |
| Parolă/Token setat | ✅ |
| Port non-default | ❓ (folosim 18789) |
| trustedProxies configurat | ❓ |
---
## 💡 Acțiuni Recomandate
- [ ] Schimbă portul din 18789 în ceva random
- [ ] Verifică configurația trustedProxies
- [ ] Review skills instalate
- [ ] Rotește API keys (precauție)
---
## 🔗 Resurse
- Video: https://youtu.be/rPAKq2oQVBs
- Jameson (security researcher) - white hat care a descoperit vulnerabilitățile
Reference in New Issue View Git Blame Copy Permalink