Quelqu'un dans un chat Discord a dit qu'il gagnait 200 $ par jour - et il lui a fallu six ans pour atteindre ce point. Lorsqu'on lui a demandé si Polymarket est essentiellement du jeu. Une autre personne a répondu avec une capture d'écran. 248000 $ en une nuit. Le chat est devenu silencieux.

La configuration (version sécurisée)
D'un VPS Ubuntu frais à un serveur IA privé durci. Faites-le dans cet ordre.
1) Verrouiller SSH
→ Clés uniquement, pas de mots de passe, pas de connexion root.

2) Pare-feu par défaut - Refuser
→ Bloquer tout le trafic entrant par défaut.

3) Protection contre la force brute
→ Auto-bannir les IP après des tentatives de connexion échouées.

4) Installer Tailscale
→ Votre réseau maillé VPN privé. C'est ce qui rend tout accessible uniquement depuis vos appareils.

5) SSH uniquement via Tailscale
→ Plus d'exposition SSH publique.

6) Ports Web privés aussi
→ La passerelle ClawdBot n'est accessible que depuis vos appareils.

7) Installer Node.js 22
→ ClawdBot nécessite la version 22+. La version par défaut d'Ubuntu est plus ancienne.

8) Installer ClawdBot

9) Verrouiller ClawdBot uniquement pour le propriétaire
→ Seule vous pouvez envoyer des messages au bot. Ajoutez ceci à votre configuration ClawdBot : Ne jamais ajouter ClawdBot aux discussions de groupe. Chaque personne dans cette discussion peut émettre des commandes à votre serveur via le bot.

10) Activer le mode bac à sable
→ Exécute des opérations risquées dans un conteneur au lieu de votre système réel.
Vérifiez les documents de sécurité et activez l'isolation. Si quelque chose ne va pas, le rayon d'explosion est contenu.
11) Commandes de liste blanche
→ Ne laissez pas l'agent exécuter des commandes arbitraires. Énumérez explicitement seulement ce dont il a besoin : Si l'agent est détourné par injection de prompt, il ne peut exécuter que ce que vous avez ajouté à la liste blanche.

12) Définir les jetons API
→ Lors de la connexion à GitHub, Gmail, Google Drive : n'utilisez pas de jetons à accès complet. Donnez le minimum d'autorisations. Lecture seule si possible. Si quelque chose ne va pas, les dégâts sont limités à ce que ce jeton spécifique pourrait faire.
13) Corriger les autorisations d'identification
→ Ne laissez pas les secrets lisibles par le monde.

14) Effectuer un audit de sécurité
→ Capture les problèmes que vous avez ratés. Ne le sautez pas. Si cela échoue, ne déployez pas. Corrigez d'abord tout ce que cela signale.

Vérifiez tout

Le résultat doit être :
Pas de SSH public
Pas de ports web publics
Serveur uniquement accessible via Tailscale
Le bot ne répond qu'à vous
