🦞
Безопасность26 января 2026

Предупреждение безопасности: Открытые панели управления создают риск утечки учётных данных

Автор Команда безопасности

Недавнее расследование безопасности выявило **сотни доступных из интернета интерфейсов управления**, связанных с установками OpenClaw (ранее Moltbot). Эти открытые панели представляют значительные риски для безопасности и конфиденциальности пользователей.

Что было обнаружено

Исследователи обнаружили, что многие пользователи OpenClaw непреднамеренно открыли свои административные панели для публичного интернета. Во многих случаях доступ к этим интерфейсам позволял посторонним:

- Просматривать данные конфигурации

- Получать API-ключи сервисов Anthropic, OpenAI и других

- Просматривать полную историю переписок из приватных чатов

- Получать доступ к обмену файлами и сохранённым документам

Как это происходит

Большинство случаев открытия происходит из-за:

1. **Запуска без аутентификации** — использование настроек по умолчанию, не требующих входа

2. **Ошибок перенаправления портов** — случайное открытие порта панели управления в интернет

3. **Неправильной настройки облака** — настройка VPS-серверов без надлежащих правил файрвола

4. **Ошибок обратного прокси** — неправильная настройка nginx или Caddy

Немедленные действия

Если вы используете OpenClaw, выполните эти шаги немедленно:

1. Проверьте доступность

Выполните эту команду, чтобы узнать, доступна ли ваша панель извне:

curl -I http://IP_ВАШЕГО_СЕРВЕРА:3000

Если вы получили ответ, ваша панель может быть открыта.

2. Включите аутентификацию

Убедитесь, что вы настроили аутентификацию в настройках OpenClaw:

auth:

enabled: true

username: ваш_логин

password: ваш_надёжный_пароль

3. Используйте файрвол

Разрешите доступ только с доверенных IP-адресов:

# Пример для UFW

sudo ufw deny 3000

sudo ufw allow from ВАШ_IP to any port 3000

4. Перевыпустите скомпрометированные ключи

Если вы подозреваете, что ваши API-ключи были раскрыты, немедленно:

- Перевыпустите API-ключи Anthropic/OpenAI/Google

- Проверьте логи переписок на наличие конфиденциальной информации

- Проверьте несанкционированную активность в связанных аккаунтах

Рекомендации от Brave

Команда браузера Brave выпустила руководство, рекомендующее пользователям:

- Запускать OpenClaw на изолированных машинах

- Ограничивать доступ к аккаунтам

- Никогда не открывать панель управления напрямую в интернет

- Использовать VPN или SSH-туннелирование для удалённого доступа

Дальнейшие шаги

Команда OpenClaw работает над:

- Обязательной аутентификацией в будущих релизах

- Улучшенными настройками безопасности по умолчанию

- Инструментами аудита безопасности, встроенными в панель управления

- Улучшением документации по безопасному развёртыванию

Будьте бдительны и проверьте свою конфигурацию сегодня.