Actuellement, de plus en plus d’internautes tentent de déployer des robots OpenClaw AI. Ce type de robot assistant personnel basé sur la technologie de l'intelligence artificielle offre une très bonne expérience, mais plus les autorisations accordées par l'utilisateur sont élevées, plus les risques de sécurité potentiels sont élevés.
En plus d'une utilisation quotidienne qui peut exposer certaines informations sensibles au modèle d'IA, si l'instance OpenClaw est déployée via un serveur cloud et exposée au réseau public, le risque de sécurité potentiel est plus élevé, il n'est donc pas recommandé aux utilisateurs d'exposer directement l'instance au réseau public.
Il existe un scanner d'instance OpenClaw construit par un développeur. Les données d'observation montrent qu'il existe actuellement un total de 234 900 instances exposées sur le réseau public. Un petit nombre d'instances sont déjà hors ligne et la plupart sont toujours en ligne.
Bien sûr, ne soyez pas trop nerveux, car le scanner ne peut détecter l'instance que via le port IP +, mais vous avez également besoin d'un jeton pour accéder à la console. Sans jeton, vous ne pouvez pas accéder directement aux fichiers de configuration et aux autres tâches de l'instance.
Cependant, si d'autres problèmes de sécurité surviennent dans OpenClaw, tels que certaines vulnérabilités, les attaquants peuvent exploiter les vulnérabilités et les instances exposées pour lancer des attaques. Il est conseillé aux utilisateurs qui déploient OpenClaw de vérifier la configuration afin de réduire la surface d'attaque potentielle.
Voici les recommandations de sécurité de Blue Dot :
1. La passerelle surveille uniquement le bouclage local :
Suggestion : gateway.bind=127.0.0.1 ou uniquement l'IP intranet, n'écoutez pas 0.0.0.0 (c'est-à-dire accepter l'accès de toutes les IP)
2. Si vous souhaitez accéder au réseau public, veuillez utiliser la génération inverse et l'authentification forte :
Recommandation : Configurez la liste blanche OAuth/BasicAuth/IP au niveau du proxy inverse, n'exposez pas directement le port WS natif (port 18789)
3. Liste autorisée DM/groupe pour les canaux de communication stricts :
Recommandation : qu'il s'agisse de Telegram ou de Discord, limitez strictement l'expéditeur ou le groupe et n'autorisez pas les autres à accéder au bot
4. Activez et vérifiez le mécanisme d'appairage :
Recommandation : le couplage OpenClaw doit être activé et les anciens appareils et les anciens jetons doivent être nettoyés régulièrement pour éviter les fuites potentielles.
5. Exécutez régulièrement un audit de sécurité : audit de sécurité openclaw – approfondi
Suggestion : configurez une tâche planifiée quotidienne pour qu'OpenClaw effectue un audit, vous envoie les résultats de l'audit et fournisse des informations sur la sécurité.
6. Principe de réduction des autorisations :
Recommandation : désactivez par défaut les outils inutiles à haut risque tels que l'exécutable, le navigateur, les nœuds, etc. et activez-les si nécessaire.
7. Mettez à jour la nouvelle version à temps :
Recommandation : OpenClaw évolue très rapidement et présente de nombreuses vulnérabilités. Il est recommandé de mettre à niveau vers la nouvelle version à temps pour corriger les vulnérabilités.