🚨 تحذير حقيقي من القضية: مبتدئ في OpenClaw، خلف سرقة بطاقة الائتمان هناك حفرة ضخمة يدوس عليها عشرات الآلاف من المطورين! عندما رأيت صديقا يستخدم الكركند، تلقيت فجأة رسالة نصية من البنك قبل يومين: تم تجاوز الحد الأقصى لبطاقة الائتمان مباشرة! عند مراجعة السجلات، وجدت أن السبب هو في الواقع OpenClaw، الذي نشرته قبل أيام قليلة. كتب سكريبت أتمتة باستخدام OpenClaw، وعرض متصفح كروم للشبكة العامة عبر noVNC (المنفذ يتم تعيينه مباشرة)، وأراد تصحيح أتمتة المتصفح عن بعد. النتيجة؟ طرق الدفع، وملفات تعريف الارتباط، ومعلومات بطاقات الائتمان المحفوظة في كروم أصبحت جميعها "صراف آلي" عامة. قام المهاجم بمسح نسخة VNC المكشوفة وقام بتمرير البطاقة خلال دقائق. هذه ليست حالة معزولة، بل هي كارثة أمنية نظامية. السلوك الافتراضي ل OpenClaw (بما في ذلك مدخل متصفح صندوق الرمل) هو ربط الخدمة ب 0.0.0.0 (جميع واجهات الشبكة)، والإصدار السابق من x11vnc كان يستخدم فعليا -nopw (المصادقة بدون كلمة مرور!). بمجرد أن لا تضيف --host أو تقيد النشر صراحة عند تشغيل docker، يصبح الأمر مكافئا لإرسال سطح مكتب المتصفح بالكامل مباشرة إلى الشبكة العامة. هناك تحذير أمني (GHSA-25gx-x37c-7pph) على GitHub، كما أن خادم Canvas المضيف يميل افتراضيا إلى 0.0.0.0 بدون مصادقة، وقد أظهرت أبحاث أمنية حديثة 220,000+ نسخة OpenClaw مكشوفة مباشرة. كان القراصنة يبحثون باستخدام شودان، وتحولت الحالات التي تحتوي على جلسات تصفح إلى مشاكل في دقائق - وكان كروم الذي يحتوي على معلومات الدفع أكثر فتكا. منذ اليوم الأول في نشر أي أداة وكيل، وضعت قاعدة حديدية: لا تدع الخدمة تستمع إلى 0.0.0.0! الوضعية الصحيحة (ينصح بشدة بالنسخ المباشر): '''باش # 1. عند بدء الخدمة، تجبر على الربط محليا فقط --استمع إلى 127.0.0.1 # أو غير bindHost إلى 127.0.0.1 في الإعدادات # 2. لا تستخدم أبدا تعيين منافذ النص العادي، استخدم النفق المشفر ssh -L 5900:127.0.0.1:5900 user@your خادم #VNC نفق # أو أكثر أناقة: # تيلسكال / وايرجارد / نفق كلاودفلير / frp (تشفير + صفر ثقة) # 3. أمر الجدار الناري + التحقق الذاتي (يجب تشغيله يوميا) SS -TLNP | grep -E '5900|9090|18789' # تحقق إذا كان هناك 0.0.0.0 UFW Deny 5900 # حظر الشبكة العامة مباشرة...