Alerta de Segurança OpenClaw: 500.000 Instâncias Públicas, Configuração Padrão Expõe Sistemas
Detalhes da Exposição de Segurança do OpenClaw
Análises recentes mostram riscos de segurança significativos em instalações do OpenClaw acessíveis publicamente. De acordo com pesquisadores de segurança, atualmente existem 500.000 instâncias do OpenClaw na internet pública. Dessas, 30.000 têm riscos de segurança conhecidos e 15.000 são exploráveis por meio de vulnerabilidades conhecidas.
Problemas Críticos de Configuração
A instalação padrão do OpenClaw tem várias deficiências de segurança:
- A autenticação é desativada por padrão
- O gateway vincula-se a 0.0.0.0, tornando o sistema acessível de qualquer rede
- Não há interruptor de emergência incluído no sistema
- Nenhum console de gerenciamento é fornecido
- Os dados são armazenados em arquivos markdown de texto simples sem criptografia
Essa configuração significa que, se você instalou o OpenClaw sem configurar manualmente as configurações de segurança, toda a sua configuração de agentes está disponível na internet aberta para qualquer pessoa acessar.
Incidentes de Segurança Documentados
Vários incidentes de segurança foram documentados:
- Uma auditoria de segurança encontrou 341 habilidades maliciosas no ClawHub
- 1,5 milhão de tokens de API foram expostos em um vazamento de banco de dados
- Um desenvolvedor encontrou 9 CVEs em sua primeira semana usando o OpenClaw
- A instância do OpenClaw de um CEO do Reino Unido foi vendida no BreachForums por US$ 25.000, dando ao comprador acesso a e-mail, calendário e arquivos
Ação Imediata Necessária
Se você tem o OpenClaw instalado, verifique sua configuração imediatamente:
- Verifique se a autenticação está configurada corretamente
- Verifique suas vinculações de rede
- Revise a segurança de suas chaves de API
- Certifique-se de que sua instalação não esteja publicamente acessível sem medidas de segurança adequadas
A tecnologia em si é capaz, mas a configuração padrão apresenta passivos de segurança significativos que exigem atenção imediata.
📖 Leia a fonte completa: r/openclaw
👀 See Also
A ferramenta de busca de conversas do Claude ainda retorna chats excluídos
Um usuário do Claude Pro descobriu que conversas excluídas permanecem recuperáveis através da ferramenta de busca de conversas do Claude, retornando conteúdo substantivo incluindo títulos, contagens de mensagens e trechos, apesar dos links do chat estarem inativos.
Configurando o OpenClaw para Inferência de LLM Criptografada Usando Enclaves TEE
Um desenvolvedor compartilha como configurou o OpenClaw para usar os ambientes de execução confiáveis AMD SEV-SNP da Onera para inferência de LLM com criptografia de ponta a ponta, incluindo exemplos de configuração e compensações técnicas.
Caelguard: Scanner de segurança de código aberto para habilidades do OpenClaw
Caelguard é um scanner licenciado pelo MIT, executado localmente, que detecta problemas de segurança em habilidades do OpenClaw, incluindo injeção de prompt, coleta de credenciais e cargas úteis ofuscadas. Pesquisas mostram que aproximadamente 20% das habilidades publicadas contêm padrões preocupantes.
Cibercriminosos Reagem Contra a Porcaria Gerada por IA em Fóruns Subterrâneos
Novas pesquisas mostram que hackers e golpistas de baixo nível estão reclamando de postagens geradas por IA em fóruns de crimes cibernéticos, considerando-as ruído de baixa qualidade que prejudica a confiança da comunidade e a interação social.