Utilisation de FastAPI Guard pour sécuriser les instances OpenClaw contre les attaques

Contexte de sécurité OpenClaw

Les instances OpenClaw font face à des menaces de sécurité importantes selon des rapports récents. Un audit de sécurité a révélé 512 vulnérabilités dans la base de code avec 8 problèmes critiques, et plus de 40 000 instances exposées dont 60 % sont immédiatement exploitables. La vulnérabilité ClawJacked (CVE-2026-25253) permet le détournement de sites web via WebSocket en exploitant les hypothèses de confiance localhost. De plus, plus de 820 compétences malveillantes existent sur ClawHub.

La surveillance en temps réel montre que les instances OpenClaw typiques reçoivent des milliers d'attaques quotidiennes, incluant des IP chinoises, des robots d'exploration Baidu, des scanners DigitalOcean, des bots tentant des traversées de chemin, des sondages de fichiers .env et des attaques par force brute sur les connexions.

Solution FastAPI Guard

FastAPI Guard est un middleware qui ajoute des couches de sécurité avant que les requêtes n'atteignent les points de terminaison OpenClaw. Puisqu'OpenClaw fonctionne sur FastAPI (ou pourrait le faire via une passerelle API), l'intégration est simple :

from guard import SecurityMiddleware, SecurityConfig

config = SecurityConfig(
    blocked_countries=["CN", "RU"],
    blocked_user_agents=["Baiduspider", "SemrushBot", "AhrefsBot"],
    block_cloud_providers={"AWS", "GCP", "Azure"},
    rate_limit=100,
    rate_limit_window=60,
    auto_ban_threshold=10,
    auto_ban_duration=3600,
    enable_penetration_detection=True,
    whitelist=["YOUR_IP_HERE"],
)
app.add_middleware(SecurityMiddleware, config=config)

Fonctionnalités de sécurité clés

• blocked_countries : Blocage géographique qui peut éliminer des milliers d'attaques provenant de pays spécifiques
• blocked_user_agents : Bloque les robots d'exploration et bots connus avant qu'ils n'atteignent le code de l'application
• block_cloud_providers : Récupère et met en cache automatiquement les plages d'IP des fournisseurs cloud pour bloquer les fermes de scanners
• auto_ban_threshold : Bannit les IP après 10 violations
• penetration detection : Détecte les sondages de traversée de chemin pour .env, /etc/passwd et attaques similaires sans configuration supplémentaire
• emergency mode : emergency_mode=True, emergency_whitelist=["YOUR_IP", "YOUR_TEAM_IP"] bloque tout sauf les IP explicitement autorisées
• trusted_proxies : Configuration pour les configurations de proxy inverse afin d'extraire correctement les IP client réelles

Sécurité par route avec décorateurs

Le système de décorateurs permet différentes configurations de sécurité sur des routes spécifiques :

from guard.decorators import SecurityDecorator

guard_decorator = SecurityDecorator(config)
@app.get("/api/admin")
@guard_decorator.require_ip(whitelist=["10.0.0.0/8"])
@guard_decorator.block_countries(["CN", "RU", "KP"])
async def admin():
    return {"status": "ok"}

Cela permet de surveiller les modèles d'utilisation, de bloquer des pays spécifiques sur des points de terminaison sensibles et d'exiger une authentification sur les chemins d'administration - des capacités que les règles de pare-feu statiques ne peuvent pas fournir.

Capacités supplémentaires

• Redis support : Intégré pour les déploiements multi-instances avec synchronisation automatique des limites de débit, bannissements d'IP et plages d'IP cloud
• Flask support : flaskapi-guard fournit le même moteur de détection pour l'infrastructure d'agents basée sur Flask
• Use cases : Au-delà d'OpenClaw, l'outil est utilisé par des startups nécessitant des API publiques pour des équipes distantes tout en bloquant tout autre accès, des plateformes de jeu appliquant des conditions de victoire, et des pièges à miel qui enregistrent et bannissent les bots malveillants