Utilisation de FastAPI Guard pour sécuriser les instances OpenClaw contre les attaques

Contexte de sécurité OpenClaw
Les instances OpenClaw font face à des menaces de sécurité importantes selon des rapports récents. Un audit de sécurité a révélé 512 vulnérabilités dans la base de code avec 8 problèmes critiques, et plus de 40 000 instances exposées dont 60 % sont immédiatement exploitables. La vulnérabilité ClawJacked (CVE-2026-25253) permet le détournement de sites web via WebSocket en exploitant les hypothèses de confiance localhost. De plus, plus de 820 compétences malveillantes existent sur ClawHub.
La surveillance en temps réel montre que les instances OpenClaw typiques reçoivent des milliers d'attaques quotidiennes, incluant des IP chinoises, des robots d'exploration Baidu, des scanners DigitalOcean, des bots tentant des traversées de chemin, des sondages de fichiers .env et des attaques par force brute sur les connexions.
Solution FastAPI Guard
FastAPI Guard est un middleware qui ajoute des couches de sécurité avant que les requêtes n'atteignent les points de terminaison OpenClaw. Puisqu'OpenClaw fonctionne sur FastAPI (ou pourrait le faire via une passerelle API), l'intégration est simple :
from guard import SecurityMiddleware, SecurityConfig
config = SecurityConfig(
blocked_countries=["CN", "RU"],
blocked_user_agents=["Baiduspider", "SemrushBot", "AhrefsBot"],
block_cloud_providers={"AWS", "GCP", "Azure"},
rate_limit=100,
rate_limit_window=60,
auto_ban_threshold=10,
auto_ban_duration=3600,
enable_penetration_detection=True,
whitelist=["YOUR_IP_HERE"],
)
app.add_middleware(SecurityMiddleware, config=config)
Fonctionnalités de sécurité clés
- blocked_countries : Blocage géographique qui peut éliminer des milliers d'attaques provenant de pays spécifiques
- blocked_user_agents : Bloque les robots d'exploration et bots connus avant qu'ils n'atteignent le code de l'application
- block_cloud_providers : Récupère et met en cache automatiquement les plages d'IP des fournisseurs cloud pour bloquer les fermes de scanners
- auto_ban_threshold : Bannit les IP après 10 violations
- penetration detection : Détecte les sondages de traversée de chemin pour .env, /etc/passwd et attaques similaires sans configuration supplémentaire
- emergency mode :
emergency_mode=True, emergency_whitelist=["YOUR_IP", "YOUR_TEAM_IP"]bloque tout sauf les IP explicitement autorisées - trusted_proxies : Configuration pour les configurations de proxy inverse afin d'extraire correctement les IP client réelles
Sécurité par route avec décorateurs
Le système de décorateurs permet différentes configurations de sécurité sur des routes spécifiques :
from guard.decorators import SecurityDecorator
guard_decorator = SecurityDecorator(config)
@app.get("/api/admin")
@guard_decorator.require_ip(whitelist=["10.0.0.0/8"])
@guard_decorator.block_countries(["CN", "RU", "KP"])
async def admin():
return {"status": "ok"}
Cela permet de surveiller les modèles d'utilisation, de bloquer des pays spécifiques sur des points de terminaison sensibles et d'exiger une authentification sur les chemins d'administration - des capacités que les règles de pare-feu statiques ne peuvent pas fournir.
Capacités supplémentaires
- Redis support : Intégré pour les déploiements multi-instances avec synchronisation automatique des limites de débit, bannissements d'IP et plages d'IP cloud
- Flask support : flaskapi-guard fournit le même moteur de détection pour l'infrastructure d'agents basée sur Flask
- Use cases : Au-delà d'OpenClaw, l'outil est utilisé par des startups nécessitant des API publiques pour des équipes distantes tout en bloquant tout autre accès, des plateformes de jeu appliquant des conditions de victoire, et des pièges à miel qui enregistrent et bannissent les bots malveillants
📖 Read the full source: r/openclaw
👀 See Also

Exploration des risques liés à l'utilisation d'un compte Google avec Gemini-Cli et l'abonnement Gemini Pro
Gemini-Cli et votre abonnement Gemini Pro pourraient présenter certains risques pour votre compte Google. Voici ce que vous devez savoir sur les vulnérabilités potentielles lors de l'utilisation de ces outils d'IA.

Anthropic révèle une extraction de données à l'échelle industrielle de l'IA Claude par des laboratoires chinois.
Anthropic a confirmé que des laboratoires chinois d'IA ont utilisé plus de 24 000 comptes frauduleux pour extraire 16 millions d'échanges de Claude, siphonnant les garde-fous de sécurité et les structures logiques pour des systèmes militaires et de surveillance.

Agent-Drift : Outil de surveillance de sécurité pour agents IA
Aucun

Sécurité OpenClaw : 13 étapes pratiques pour sécuriser votre agent IA
Un post Reddit détaille 13 mesures de sécurité pour les installations OpenClaw, notamment l'exécution sur une machine séparée, l'utilisation de Tailscale pour l'isolation réseau, le confinement des sous-agents dans Docker et la configuration de listes d'autorisation pour l'accès des utilisateurs.