Une enquete de securite recente a decouvert **des centaines d'interfaces de controle exposees sur Internet** liees aux installations OpenClaw (anciennement Moltbot). Ces tableaux de bord exposes posent des risques importants pour la securite et la confidentialite des utilisateurs.
Ce qui a ete decouvert
Les chercheurs ont decouvert que de nombreux utilisateurs OpenClaw ont involontairement expose leurs panneaux d'administration sur l'Internet public. Dans plusieurs cas, l'acces a ces interfaces a permis a des tiers de :
- Consulter les donnees de configuration
- Recuperer les cles API pour des services comme Anthropic, OpenAI et d'autres
- Parcourir l'historique complet des conversations privees
- Acceder aux echanges de fichiers et documents stockes
Comment cela arrive
La plupart des expositions surviennent en raison de :
1. **Execution sans authentification** - Utilisation des configurations par defaut qui ne necessitent pas de connexion
2. **Erreurs de redirection de port** - Exposition accidentelle du port du tableau de bord sur Internet
3. **Mauvaises configurations cloud** - Configuration d'instances VPS sans regles de pare-feu appropriees
4. **Erreurs de proxy inverse** - Configuration incorrecte de nginx ou Caddy
Actions immediates
Si vous executez OpenClaw, prenez ces mesures immediatement :
1. Verifiez votre exposition
Executez cette commande pour voir si votre tableau de bord est accessible de l'exterieur :
curl -I http://VOTRE_IP_SERVEUR:3000
Si vous obtenez une reponse, votre panneau peut etre expose.
2. Activez l'authentification
Assurez-vous d'avoir configure l'authentification dans vos parametres OpenClaw :
auth:
enabled: true
username: votre_nom_utilisateur
password: votre_mot_de_passe_securise
3. Utilisez un pare-feu
Autorisez uniquement l'acces depuis des IPs de confiance :
# Exemple UFW
sudo ufw deny 3000
sudo ufw allow from VOTRE_IP to any port 3000
4. Renouvelez les cles compromises
Si vous soupconnez que vos cles API ont ete exposees, immediatement :
- Renouvelez vos cles API Anthropic/OpenAI/Google
- Examinez vos journaux de conversation pour les informations sensibles
- Verifiez les activites non autorisees dans vos comptes lies
Recommandations de Brave
L'equipe du navigateur Brave a emis des recommandations conseillant aux utilisateurs de :
- Executer OpenClaw sur des machines isolees
- Limiter l'acces aux comptes
- Ne jamais exposer directement le tableau de bord sur Internet
- Utiliser un VPN ou un tunnel SSH pour l'acces a distance
Pour l'avenir
L'equipe OpenClaw travaille sur :
- L'authentification obligatoire dans les futures versions
- De meilleures configurations de securite par defaut
- Des outils d'audit de securite integres au tableau de bord
- Des ameliorations de la documentation sur le deploiement securise
Restez vigilant et examinez votre configuration aujourd'hui.