開源不等於安全

開源代碼可以被審計，但用戶還是要正確部署它。

錯誤假設

「這是開源的，所以應該是安全的」— 這忽略了一個關鍵事實：

安全問題大多來自配置錯誤，而不是代碼漏洞。

Clawdbot 案例

Clawdbot 的情況：

• ✅ 代碼開源、可審計
• ✅ 文檔完善，有安全章節
• ✅ 提供安全審計工具 (clawdbot security audit)
• ❌ 954 個實例完全暴露在網路上

問題不在軟體本身，而在於：

• 用戶不讀文檔
• 看 YouTube 複製命令就開始用
• 急著享受新功能，忽略安全設置

教訓

1. 工具只是工具 — 安全取決於如何使用
2. RTFM — 特別是安全相關章節
3. 病毒式傳播 = 風險 — 專案爆紅時，新用戶往往跳過細節
4. 便利是安全的敵人 — 「能跑就好」的心態很危險

連結

• AI 工具的安全考量
• 平台依賴的風險