Проблемы безопасности OpenClaw: ключи API и данные переписки под угрозой при стандартной самостоятельной хостинге

Пользователь на r/openclaw поднимает вопросы безопасности, связанные с самостоятельным хостингом OpenClaw, в частности, касающиеся защиты API-ключей и данных разговоров.

Оценка безопасности

Согласно отчёту Cisco, на который ссылается источник, безопасность OpenClaw описывается как «опциональная, а не встроенная». Конфигурация по умолчанию, по-видимому, способствует такой оценке.

Конкретные уязвимости

• API-ключи хранятся в файлах .env на том VPS, где работает программное обеспечение
• Доступ root к VPS обеспечивает полную видимость этих файлов
• Особую озабоченность это вызывает у нетехнических пользователей, которые могут запускать OpenClaw на дроплете за $5 с настройками по умолчанию
• API-ключи Anthropic будут храниться в открытом виде в этой конфигурации по умолчанию

Запрос сообщества

Автор исходного поста ищет решения, разработанные сообществом, в частности запрашивая:

• Руководство по развёртыванию с усиленной защитой
• Стандартизированную конфигурацию безопасности, согласованную сообществом

Пользователь отмечает, что, хотя он может принять эти риски для личных проектов, он не может рекомендовать такую настройку нетехническим людям из-за последствий для безопасности.