Seseorang dalam obrolan Discord berkata dia mendapatkan $200 sehari - dan dia membutuhkan enam tahun untuk mencapai titik itu. Ditanya apakah Polymarket pada dasarnya adalah judi. Orang lain menjawab dengan tangkapan layar. $248,000 semalam. Obrolan menjadi sepi.
Pengaturan (Versi Aman)
Dari VPS Ubuntu segar menjadi server AI pribadi yang diperkuat. Lakukan dalam urutan ini.
1) Kunci SSH
→ Hanya kunci, tidak ada kata sandi, tidak ada login root.
2) Firewall Default-Tolak
→ Blokir semua yang masuk secara default.
3) Perlindungan Brute-Force
→ Auto-ban IP setelah upaya login gagal.
4) Instal Tailscale
→ Jaringan mesh VPN pribadi Anda. Ini yang membuat segalanya dapat dijangkau hanya dari perangkat Anda.
5) SSH Hanya melalui Tailscale
→ Tidak ada lagi eksposur SSH publik.
6) Port Web Juga Pribadi
→ Gateway ClawdBot hanya dapat diakses dari perangkat Anda.
7) Instal Node.js 22
→ ClawdBot memerlukan versi 22+. Default Ubuntu lebih lama.
8) Instal ClawdBot
9) Kunci ClawdBot Hanya untuk Pemilik
→ Hanya Anda yang dapat mengirim pesan ke bot. Tambahkan ini ke konfigurasi ClawdBot Anda: Jangan pernah menambahkan ClawdBot ke obrolan grup. Setiap orang di obrolan itu dapat mengeluarkan perintah ke server Anda melalui bot.
10) Aktifkan Mode Sandbox
→ Menjalankan operasi berisiko dalam wadah alih-alih sistem Anda yang sebenarnya.
Periksa dokumen keamanan dan aktifkan isolasi. Jika ada yang salah, radius ledakan terkurung.
11) Daftarkan Perintah
→ Jangan biarkan agen menjalankan perintah sembarangan. Secara eksplisit daftarkan hanya apa yang dibutuhkan: Jika agen dibajak melalui injeksi prompt, ia hanya dapat menjalankan apa yang telah Anda whitelist.
12) Lingkup Token API
→ Saat menghubungkan GitHub, Gmail, Google Drive: jangan gunakan token akses penuh. Berikan izin minimum. Hanya baca jika memungkinkan. Jika ada yang salah, kerusakan dibatasi pada apa yang dapat dilakukan token spesifik itu.
13) Perbaiki Izin Kredensial
→ Jangan tinggalkan rahasia dapat dibaca oleh publik.
14) Jalankan Audit Keamanan
→ Menangkap masalah yang Anda lewatkan. Jangan lewatkan ini. Jika ini gagal, jangan deploy. Perbaiki apa pun yang ditandainya terlebih dahulu.
Verifikasi Segala Sesuatu
Hasil seharusnya:
Tidak ada SSH publik
Tidak ada port web publik
Server hanya dapat diakses melalui Tailscale
Bot hanya merespons kepada Anda
Buat Bot Telegram
Buka Telegram, cari
@BotFather
Kirim /newbot, ikuti petunjuk
Salin token yang diberikan
Dapatkan ID pengguna Anda dari
@userinfobot
Masukkan keduanya di onboard clawdbot --install-daemon
Setujui Pasangan
Setelah pengaturan, kirim pesan ke bot Anda di Telegram. Itu belum akan merespons. Sekarang seharusnya merespons.
Catatan tentang Injeksi Prompt Seorang anggota komunitas ClawdBot menjalankan eksperimen. Mereka mengirim email dari alamat yang tidak terkait ke kotak masuk yang dapat diakses ClawdBot. Pesan tersebut menyertakan instruksi tersembunyi. ClawdBot mengeksekusinya dan menghapus setiap email. Termasuk isi tempat sampah.
Ini bukan hipotetis. Itu benar-benar terjadi.
Claude Opus 4.5 secara eksplisit direkomendasikan karena Anthropic melatihnya untuk tahan terhadap injeksi prompt (uji internal menunjukkan ~99% ketahanan). Itu berguna, tetapi itu hanya satu lapisan. Daftar perintah yang diizinkan, sandboxing, dan token API yang sangat terbatas membentuk sisanya.
Kesalahan Umum “tidak ada otentikasi yang dikonfigurasi” - Jalankan onboard clawdbot lagi dan reconfigure otentikasi.
Bot tidak merespons - Pasangan tidak pernah disetujui. Jalankan daftar pasangan clawdbot telegram dan setujui.
“node: perintah tidak ditemukan” - Node.js tidak terinstal. Jalankan perintah instal NodeSource.
Gateway tidak akan mulai - Jalankan dokter clawdbot untuk mengidentifikasi apa yang gagal. Perdagangan. Data di atas opini. Hasil di atas teori.