Préoccupations de sécurité d'OpenClaw : Clés API et données de conversation en danger dans l'hébergement autonome par défaut

Un utilisateur sur r/openclaw soulève des préoccupations de sécurité concernant l'auto-hébergement d'OpenClaw, en particulier en ce qui concerne la protection des clés API et des données de conversation.

Évaluation de la sécurité

Selon un rapport de Cisco référencé dans la source, la sécurité d'OpenClaw est décrite comme "optionnelle, non intégrée". La configuration par défaut semble contribuer à cette évaluation.

Vulnérabilités spécifiques

• Les clés API sont stockées dans des fichiers .env sur le VPS sur lequel le logiciel s'exécute
• L'accès root au VPS offre une visibilité complète de ces fichiers
• La préoccupation est particulièrement aiguë pour les utilisateurs non techniques qui pourraient exécuter OpenClaw sur un droplet à 5 $ avec les paramètres par défaut
• Les clés API d'Anthropic seraient stockées en texte clair dans cette configuration par défaut

Demande de la communauté

L'auteur du message original recherche des solutions développées par la communauté, demandant spécifiquement :

• Un guide de déploiement renforcé
• Une configuration de sécurité standardisée sur laquelle la communauté s'est mise d'accord

L'utilisateur note que s'il pourrait accepter ces risques pour des projets personnels, il ne peut pas recommander cette configuration à des personnes non techniques en raison des implications de sécurité.