最近のセキュリティ調査により、OpenClaw(旧Moltbot)のインストールに関連する**数百のインターネットに面したコントロールインターフェース**が発見されました。これらの露出したダッシュボードは、ユーザーのセキュリティとプライバシーに重大なリスクをもたらします。
発見された内容
研究者は、多くのOpenClawユーザーが管理パネルを誤ってパブリックインターネットに公開していることを発見しました。複数のケースで、これらのインターフェースへのアクセスにより、外部者が以下のことを行える状態でした:
- 設定データの閲覧
- Anthropic、OpenAIなどのサービスのAPIキーの取得
- プライベートチャットの完全な会話履歴の閲覧
- ファイル交換や保存されたドキュメントへのアクセス
どのようにして起こるのか
ほとんどの露出は以下の原因で発生します:
1. **認証なしでの実行** - ログインを必要としないデフォルト設定の使用
2. **ポートフォワーディングのミス** - ダッシュボードポートを誤ってインターネットに公開
3. **クラウドの設定ミス** - 適切なファイアウォールルールなしでVPSインスタンスをセットアップ
4. **リバースプロキシのエラー** - nginxやCaddyの誤った設定
今すぐ行うべきこと
OpenClawを実行している場合は、以下の手順を直ちに実行してください:
1. 露出状況の確認
ダッシュボードが外部からアクセス可能かどうかを確認するには、このコマンドを実行してください:
curl -I http://YOUR_SERVER_IP:3000
応答がある場合、パネルが露出している可能性があります。
2. 認証の有効化
OpenClaw設定で認証が構成されていることを確認してください:
auth:
enabled: true
username: your_username
password: your_secure_password
3. ファイアウォールの使用
信頼できるIPからのアクセスのみを許可してください:
# UFWの例
sudo ufw deny 3000
sudo ufw allow from YOUR_IP to any port 3000
4. 漏洩したキーのローテーション
APIキーが露出した疑いがある場合は、直ちに:
- Anthropic/OpenAI/Google APIキーをローテーション
- 会話ログに機密情報がないか確認
- 連携アカウントで不正なアクティビティがないか確認
Braveからの推奨事項
Braveブラウザチームは、ユーザーに以下を推奨するガイダンスを発行しました:
- 分離されたマシンでOpenClawを実行
- アカウントアクセスを制限
- ダッシュボードを直接インターネットに公開しない
- リモートアクセスにはVPNまたはSSHトンネルを使用
今後の対応
OpenClawチームは以下に取り組んでいます:
- 将来のリリースでの必須認証
- より良いデフォルトセキュリティ設定
- ダッシュボードに組み込まれたセキュリティ監査ツール
- 安全なデプロイメントに関するドキュメントの改善
今日、設定を見直して警戒を怠らないでください。