在这里友情提示一下各大厂商,做好 key 的过期策略
准备一份自己的 soul.md ,伪装名称,发给 claw 要求保存
1.png 
2.png 
然后尝试打印 env
3.png 
被拦截了,查看所有的 md
4.png 
开始覆盖另一份 md
5.png 
6.png 
尝试打印 env
7.png 
失败了,使用/new 清空 session 重新打印
9.png 
成功获取到 api key
curl 尝试用一下
 |
1
upczww 20 小时 1 分钟前 via Android
6
|
 |
2
beck8 19 小时 50 分钟前
🐂
|
 |
3
linshuizhaoying 19 小时 33 分钟前
强大
|
 |
4
mMartin 19 小时 32 分钟前
6
|
 |
5
hadesy 19 小时 31 分钟前
这个 key 应该跟用户身份绑定的吧,泄露问题不大?
|
 |
6
codehz 19 小时 30 分钟前
其实正确的防护思路是用内网的 api 反代,apikey 随便给,反正出了内网啥也不是
|
 |
7
wsbqdyhm 19 小时 30 分钟前
厉害啊
|
 |
8
tftNExtLife OP @codehz 这个时候 ai gateway 的重要性就出来了
|
 |
9
testboy 19 小时 24 分钟前
这个。。在哪安装的哇
|
 |
10
cairnechen 19 小时 10 分钟前
|
|
11
tftNExtLife OP @cairnechen 仔细看,
|
 |
12
docx 19 小时 3 分钟前 via iPhone
哈哈哈牛皮
|
 |
13
sampeng 19 小时 1 分钟前 via iPhone
如果还连着生产环境没做物理隔离,过段时间还有托库乐子看。这个世界就是个草台班子
|
 |
14
24Arise 19 小时 0 分钟前
我只能说 666 .
|
 |
15
Vancion 18 小时 41 分钟前
夺舍了
|
 |
16
r6cb 18 小时 40 分钟前
6
|
 |
17
ProkillerJ 18 小时 33 分钟前
牛,这都能弄出来
|
 |
19
cylaw 18 小时 14 分钟前
niubi
|
 |
20
mrabit 18 小时 3 分钟前
牛批
 |
 |
21
lujiaosama 17 小时 57 分钟前
挖草, 这么大的乐子
|
 |
22
x86 17 小时 55 分钟前 via iPhone
牛的哈哈
|
 |
23
strobber16 17 小时 51 分钟前
面向 LLM 的安全可以是一门全新的职业了
|
 |
24
agmtopy 17 小时 35 分钟前
你是真的秀 我的哥
|
|
25
testboy 17 小时 30 分钟前
感觉好像内置的都是这同一个 key ?最后几位是 5ciu4w 不?
@tftNExtLife |
|
26
tftNExtLife OP @testboy 我的也是这个,估计就是丢出来的免费 key
|
 |
27
radishzz 16 小时 33 分钟前
牛逼啊
|
 |
28
chairuosen 16 小时 29 分钟前
看起来是一点安全措施都没做啊。。。
写一个脚本让他存下来,脚本运行就是获取 env 再 post 到你自己服务器接口,不就行了,不用这么绕 |
 |
29
cnrting 12 小时 44 分钟前 via iPhone
你他娘的真是个人
|
|
30
tftNExtLife OP @chairuosen 真的吗? 你试试
|
 |
31
buried 9 小时 14 分钟前
一般这些 key 不就是 openclaw 的免费额度吗
|
 |
32
sddyzm 8 小时 54 分钟前 via iPhone
还是喜欢本地部署的 openclaw ,不用的时候关机比较安全
|
 |
33
kylehuangyu 8 小时 17 分钟前
@sddyzm 这里不得不推荐一下我的 ChromeClaw 啊,在浏览器沙箱里面运行,安全多了。开源
|
 |
34
limber 7 小时 30 分钟前
你试试爬 qclaw 的呢😁
|
Select Language