Preocupações de Segurança do OpenClaw: Chaves de API e Dados de Conversação em Risco na Hospedagem Própria Padrão

Um usuário no r/openclaw levanta preocupações de segurança sobre a auto-hospedagem do OpenClaw, especificamente em relação à proteção de chaves de API e dados de conversação.

Avaliação de Segurança

De acordo com um relatório da Cisco referenciado na fonte, a segurança do OpenClaw é descrita como "opcional, não integrada". A configuração padrão parece contribuir para essa avaliação.

Vulnerabilidades Específicas

• As chaves de API são armazenadas em arquivos .env em qualquer VPS onde o software é executado
• O acesso root ao VPS fornece visibilidade completa desses arquivos
• A preocupação é particularmente aguda para usuários não técnicos que podem executar o OpenClaw em um droplet de $5 com configurações padrão
• As chaves de API da Anthropic seriam armazenadas em texto simples nesta configuração padrão

Solicitação da Comunidade

O autor original está buscando soluções desenvolvidas pela comunidade, especificamente solicitando:

• Um guia de implantação reforçado
• Uma configuração de segurança padronizada que a comunidade tenha concordado

O usuário observa que, embora possa aceitar esses riscos para projetos pessoais, não pode recomendar essa configuração para pessoas não técnicas devido às implicações de segurança.