Qualcuno in una chat di Discord ha detto che guadagna $200 al giorno - e ci sono voluti sei anni per raggiungere quel punto. Gli è stato chiesto se Polymarket sia fondamentalmente gioco d'azzardo. Un'altra persona ha risposto con uno screenshot. $248,000 da un giorno all'altro. La chat è diventata silenziosa.
La Configurazione (Versione Sicura)
Da un VPS Ubuntu fresco a un server AI privato rinforzato. Fai in quest'ordine.
1) Bloccare SSH
→ Solo chiavi, nessuna password, nessun accesso root.
2) Firewall Default-Deny
→ Blocca tutto il traffico in entrata per impostazione predefinita.
3) Protezione contro attacchi di forza bruta
→ Auto-banna gli IP dopo tentativi di accesso falliti.
4) Installa Tailscale
→ La tua rete VPN mesh privata. Questo è ciò che rende tutto raggiungibile solo dai tuoi dispositivi.
5) SSH Solo tramite Tailscale
→ Niente più esposizione pubblica SSH.
6) Porte Web Private Anche
→ Il gateway di ClawdBot è accessibile solo dai tuoi dispositivi.
7) Installa Node.js 22
→ ClawdBot richiede versione 22+. La versione predefinita di Ubuntu è più vecchia.
8) Installa ClawdBot
9) Blocca ClawdBot solo per il proprietario
→ Solo tu puoi inviare messaggi al bot. Aggiungi questo alla tua configurazione di ClawdBot: Non aggiungere mai ClawdBot alle chat di gruppo. Ogni persona in quella chat può emettere comandi al tuo server tramite il bot.
10) Abilita la modalità sandbox
→ Esegue operazioni rischiose in un contenitore invece che nel tuo sistema reale.
Controlla la documentazione sulla sicurezza e abilita l'isolamento. Se qualcosa va storto, il raggio d'azione è contenuto.
11) Autorizza i comandi
→ Non lasciare che l'agente esegua comandi arbitrari. Elenca esplicitamente solo ciò di cui ha bisogno: Se l'agente viene dirottato tramite iniezione di prompt, può eseguire solo ciò che hai autorizzato.
12) Ambito token API
→ Quando colleghi GitHub, Gmail, Google Drive: non utilizzare token con accesso completo. Dai il minimo delle autorizzazioni. Solo lettura dove possibile. Se qualcosa va storto, il danno è limitato a ciò che quel token specifico potrebbe fare.
13) Correggi i permessi delle credenziali
→ Non lasciare segreti leggibili dal mondo.
14) Esegui Audit di Sicurezza
→ Rileva problemi che hai perso. Non saltare questo. Se fallisce, non distribuire. Risolvi prima qualunque cosa segnali.
Verifica tutto
Il risultato dovrebbe essere:
Niente SSH pubblico
Niente porte web pubbliche
Server raggiungibile solo tramite Tailscale
Il bot risponde solo a te
Crea il Bot di Telegram
Apri Telegram, cerca
@BotFather
Invia /newbot, segui le istruzioni
Copia il token che ti dà
Ottieni il tuo ID utente da
@userinfobot
Inserisci entrambi in clawdbot onboard --install-daemon
Approva l'accoppiamento
Dopo la configurazione, invia un messaggio al tuo bot su Telegram. Non risponderà ancora. Ora dovrebbe rispondere.
Una nota sull'iniezione di prompt Un membro della comunità ClawdBot ha condotto un esperimento. Ha inviato un'email da un indirizzo non correlato a una casella di posta a cui ClawdBot poteva accedere. Il messaggio includeva istruzioni nascoste. ClawdBot le ha eseguite e ha cancellato ogni email. Inclusi i contenuti della spazzatura.
Questo non era ipotetico. È realmente accaduto.
Claude Opus 4.5 è esplicitamente raccomandato perché Anthropic lo ha addestrato per resistere all'iniezione di prompt (test interni mostrano una resistenza di ~99%). Questo è utile, ma è solo uno strato. Le liste di comandi autorizzati, il sandboxing e i token API a portata ristretta compongono il resto.
Errori comuni “nessuna autenticazione configurata” - Esegui di nuovo clawdbot onboard e riconfigura l'autenticazione.
Bot non risponde - L'accoppiamento non è mai stato approvato. Esegui clawdbot pairing list telegram e approvalo.
“node: comando non trovato” - Node.js non è installato. Esegui il comando di installazione di NodeSource.
Gateway non si avvia - Esegui clawdbot doctor per identificare cosa non funziona. Trading. Dati sopra le opinioni. Risultati sopra le teorie.