00:00:00क्या OpenClaw हमारे पास AGI के सबसे करीब की चीज़ है या यह सिर्फ सुरक्षा के लिए एक दुःस्वप्न है?
00:00:04इस एजेंट के साथ सबसे बड़ी समस्या सुरक्षा की है।
00:00:07Cisco ने इसे सुरक्षा के लिए एक दुःस्वप्न कहा है और यहाँ तक कि प्रोजेक्ट की अपनी सुरक्षा नीति में भी कुछ
00:00:11गंभीर खामियाँ हैं।
00:00:12कई लोग इसकी दोषपूर्ण संरचना का फायदा उठा रहे हैं और असुरक्षित एंडपॉइंट्स के माध्यम से
00:00:17संवेदनशील क्रेडेंशियल्स तक पहुँच प्राप्त कर रहे हैं।
00:00:18इसलिए हमारी टीम ने यह पता लगाने में कुछ समय बिताया कि क्या OpenClaw उतना ही मुफ़्त और सुरक्षित है जितना कि
00:00:23होने का दावा किया जाता है।
00:00:24हमारी टेस्टिंग के दौरान जो बातें सामने आईं, उन्होंने कुछ वास्तविक चिंताएँ पैदा कर दी हैं।
00:00:27जो लोग नहीं जानते, उनके लिए बता दें कि OpenClaw एक सेल्फ-होस्टेड AI असिस्टेंट है जो इतिहास में सबसे तेज़ी से बढ़ने वाला
00:00:32ओपन सोर्स प्रोजेक्ट बन गया है।
00:00:34लेकिन ओपन सोर्स का मतलब मुफ़्त नहीं है और सेल्फ-होस्टेड का मतलब सुरक्षित नहीं है।
00:00:38मूल रूप से इसका नाम Clodbot था, जिसे Anthropix Clod के साथ नाम की समानता के कारण बदलकर Multbot करना पड़ा,
00:00:42जब तक कि इसे आखिरकार OpenClaw नाम नहीं मिल गया, जिससे यह सिर्फ 3 दिनों की अवधि में
00:00:47होने वाला सबसे तेज़ रीब्रांडिंग बन गया।
00:00:49हमारी टीम ने OpenClaw का परीक्षण किया और सच कहें तो, इसका सेटअप अब तक के हमारे द्वारा देखे गए
00:00:53सबसे परेशानी भरे सेटअपों में से एक था।
00:00:54सेटअप की प्रक्रिया उनके आधिकारिक दस्तावेज़ों में विस्तार से दी गई है और आप इसे इंस्टॉल करने के लिए
00:00:59स्टेप-बाय-स्टेप फॉलो कर सकते हैं।
00:01:00लेकिन इस गाइड को फॉलो करते समय, हमें कई समस्याओं का सामना करना पड़ा।
00:01:03इंस्टॉलेशन तो हो गया लेकिन चैनल इंटीग्रेशन में समस्या आ रही थी।
00:01:07जब हमने WhatsApp से कनेक्ट किया, तो यह 408 एरर के कारण बार-बार डिस्कनेक्ट हो रहा था और हम
00:01:12कोई भी मैसेज भेजने में असमर्थ थे।
00:01:14इसलिए हमने इसे Discord के ज़रिए कनेक्ट किया जिसका कनेक्शन स्थिर था और सेटअप आसान था और
00:01:18आखिरकार हम इसके साथ चैट करने में सक्षम हुए।
00:01:20इस इंस्टॉलेशन और सेटअप को आसान बनाने के लिए, हमने एक पूरा दस्तावेज़ तैयार किया है जिसे आप
00:01:24AI Labs Pro में पा सकते हैं।
00:01:26इसमें उन समस्याओं के बिना इसे इंस्टॉल करने के स्टेप-बाय-स्टेप निर्देश हैं,
00:01:30जिनका हमने सामना किया था।
00:01:31जो लोग नहीं जानते, उनके लिए बता दें कि यह हमारी हाल ही में लॉन्च की गई कम्युनिटी है जहाँ आपको रेडी-टू-यूज़
00:01:35टेम्पलेट्स, प्रॉम्प्ट्स, सभी कमांड्स और स्किल्स मिलते हैं जिन्हें आप सीधे अपने प्रोजेक्ट्स में इस्तेमाल कर सकते हैं,
00:01:39चाहे वो इस वीडियो के लिए हो या पिछले सभी वीडियो के लिए।
00:01:42अगर आपको हमारे काम में वैल्यू मिलती है और आप चैनल को सपोर्ट करना चाहते हैं, तो यह
00:01:45इसका सबसे अच्छा तरीका है।
00:01:46लिंक डिस्क्रिप्शन में हैं।
00:01:48OpenClaw ओपन सोर्स है।
00:01:49इसका मतलब है कि सेटअप मुफ़्त में उपलब्ध है लेकिन यह इसकी असली लागत नहीं है क्योंकि आप
00:01:53वास्तव में सब्सक्रिप्शन के लिए भुगतान नहीं कर रहे हैं, आप टोकन के लिए भुगतान कर रहे हैं।
00:01:56यह कई लोकप्रिय मॉडल्स और यहाँ तक कि OpenRouter को भी सपोर्ट करता है।
00:02:00लेकिन भले ही एप्लिकेशन मुफ़्त है, इनमें से प्रत्येक मॉडल महंगा है और जिस तरह से OpenClaw का आर्किटेक्चर
00:02:04डिज़ाइन किया गया है, आप अकेले इसी पर बहुत सारा पैसा खर्च कर देंगे।
00:02:09OpenClaw केवल सिस्टम प्रॉम्प्ट्स पर काम नहीं करता है।
00:02:11इसमें इन-बिल्ट मेमोरी, रीजनिंग और स्किल्स, चैनल्स और बहुत कुछ के साथ इंटीग्रेशन है।
00:02:16इसलिए एक साधारण क्रॉन जॉब भी, अगर रोज़ाना चलाई जाए, तो प्रति माह लगभग $128 खर्च कराएगी, क्योंकि यह
00:02:22प्रत्येक क्वेरी के साथ बहुत सारी जानकारी भेजता है।
00:02:24और यह सिर्फ एक काम के लिए है क्योंकि व्यवहार में, OpenClaw का उपयोग केवल एक काम के बजाय
00:02:29कहीं अधिक उपयोग के मामलों के लिए किया जाता है।
00:02:30लोग शिकायत कर रहे हैं कि भले ही उन्होंने छोटे मॉडल्स का इस्तेमाल किया, फिर भी लागत में
00:02:34ज़्यादा कमी नहीं आई।
00:02:35इसका मतलब है कि समस्या मॉडल में नहीं बल्कि इस बात में है कि प्रोडक्ट के अंदर इसका उपयोग कैसे किया जा रहा है।
00:02:39जब हमने हर घंटे ईमेल चेक करने और महत्वपूर्ण निष्कर्षों की समरी रिपोर्ट करने के लिए एक ऑटोमेशन जॉब सेट किया,
00:02:44तो हमने देखा कि API कॉल्स काफी बढ़ गए और इस उपयोग ने
00:02:48मेरे क्रेडिट्स को तेज़ी से खत्म कर दिया।
00:02:50ऐसा इसलिए है क्योंकि हम OpenAI की की (key) का उपयोग कर रहे थे और ये मॉडल्स प्रति टोकन मूल्य निर्धारण के मामले में महंगे हैं
00:02:55और चूँकि पूरी बातचीत भेजी जा रही थी, इसलिए प्रति क्वेरी लागत बढ़ती गई।
00:03:00लागत का एक अन्य कारण यह है कि यह सर्वर की स्थिति की जांच करने और समय-समय पर कार्यों को चलाने के लिए
00:03:04एक हार्टबीट (heartbeat) भेजता है।
00:03:06जैसा कि कई लोगों ने शिकायत की, उनका API उपयोग तब तक बढ़ता रहा जब तक कि उनके
00:03:10क्रेडिट्स खत्म नहीं हो गए।
00:03:11उन्होंने हार्टबीट अंतराल को 2 घंटे से अधिक बढ़ाने और सोने से पहले
00:03:15सेशन को क्लियर करने का भी सुझाव दिया क्योंकि बातचीत का कॉन्टेक्स्ट सुनिश्चित करने के लिए प्रत्येक क्वेरी के साथ
00:03:19पूरी चैट बातचीत भेजी जाती है।
00:03:22यही वह चीज़ है जो स्वाभाविक रूप से बहुत सारे टोकन खर्च करती है।
00:03:24बातचीत की बढ़ती लंबाई के कारण रिस्पॉन्स टाइम भी बढ़ गया।
00:03:28हमने देखा कि OpenClaw के साथ हमारा प्रत्येक रिस्पॉन्स धीरे-धीरे धीमा होता जा रहा था।
00:03:32जब हमने Claude से लॉग्स का विश्लेषण करवाया, तो हमें पता चला कि वास्तव में यही पैटर्न था।
00:03:36रिस्पॉन्स टाइम धीरे-धीरे बढ़ता गया जैसे-जैसे कॉन्टेक्स्ट बनता गया, जो प्रति रिस्पॉन्स 2 से 12 सेकंड से शुरू होकर
00:03:41119 सेकंड तक पहुँच गया जहाँ कॉन्टेक्स्ट
00:03:46काफी बढ़ गया था।
00:03:48रिस्पॉन्स के भीतर टूल कॉल्स ने भी ओवरहेड बढ़ा दिया।
00:03:51हमारा सुझाव होगा कि आप अपनी API लागतों की निगरानी करें, अलर्ट सेट करें और जिस API की का उपयोग कर रहे हैं
00:03:55उसके लिए एक उचित बजट रखें ताकि यह नियंत्रण से बाहर न हो जाए।
00:03:59आप OpenAI, Google Cloud और अन्य मॉडल प्रदाताओं के साथ ऐसा कर सकते हैं, जैसा कि हमने
00:04:03OpenAI पर अपने सेटअप के साथ किया था।
00:04:05अगर आप स्थानीय रूप से OpenClaw का उपयोग कर रहे हैं, तो Ollama के मॉडल्स एक अच्छा विकल्प हैं।
00:04:08Ollama मूल रूप से आपको स्थानीय रूप से LLMs चलाने की अनुमति देता है और बदले में आप लागत की परेशानी से बच जाते हैं।
00:04:13लेकिन इस समाधान के लिए, आपका सिस्टम LLMs चलाने के लिए पर्याप्त सक्षम होना चाहिए क्योंकि उन्हें चलाने के लिए
00:04:18काफी पावर लगती है।
00:04:19इसलिए जब आप शक्तिशाली मॉडल्स का उपयोग करते हैं तो लागत अपरिहार्य है, इसलिए यह कुछ ऐसा है
00:04:22जिसे आपको सावधानीपूर्वक प्रबंधित करने की आवश्यकता है।
00:04:24OpenClaw जैसे व्यक्तिगत AI एजेंट सुरक्षा के लिए एक दुःस्वप्न हैं।
00:04:27आपके सभी क्रेडेंशियल्स और आपके सेशन्स सादे JSON फ़ाइलों में संग्रहीत होते हैं जिनमें डिवाइस की
00:04:32जानकारी और आपकी पहचान के बारे में विवरण होता है।
00:04:34यह सादी फ़ाइलों में संग्रहीत होता है जिन्हें सिस्टम एक्सेस रखने वाला कोई भी व्यक्ति पढ़ सकता है।
00:04:38आप सोच सकते हैं कि चूँकि OpenClaw स्थानीय रूप से चलता है, इसलिए जब तक आप VPS पर नहीं चला रहे हैं,
00:04:42यह कोई समस्या नहीं है।
00:04:43लेकिन यहाँ बात यह है।
00:04:44OpenClaw में शेल कमांड चलाने, डिस्क पर फ़ाइलों तक पहुँचने और आपकी मशीन पर
00:04:49स्क्रिप्ट निष्पादित करने की क्षमता है।
00:04:50AI को इस तरह की शक्ति देना जोखिम भरा है।
00:04:52क्योंकि अगर गलत तरीके से उपयोग किया जाए, तो इससे जानकारी लीक हो सकती है।
00:04:56Cisco ने इसी मुद्दे का परीक्षण किया और वास्तविक समस्याओं का पता लगाया।
00:04:59OpenClaw स्किल्स को सपोर्ट करता है और कम्युनिटी द्वारा बनाई गई स्किल्स Clawhub पर सार्वजनिक रूप से उपलब्ध हैं।
00:05:04Cisco ने अपने अब ओपन सोर्स हो चुके स्किल स्कैनर का उपयोग करके इन स्किल्स को स्कैन किया और नौ
00:05:08सुरक्षा खामियों का खुलासा किया।
00:05:09सिर्फ एक स्किल में दो क्रिटिकल और पांच हाई सेवेरिटी वाली खामियां मिलीं।
00:05:12उन्होंने पाया कि जिस स्किल का उन्होंने परीक्षण किया वह कार्यात्मक रूप से मालवेयर थी।
00:05:15इसने स्पष्ट रूप से बॉट को एक curl कमांड निष्पादित करने का निर्देश दिया जिसने स्किल लेखक द्वारा नियंत्रित
00:05:20एक बाहरी सर्वर पर डेटा भेजा।
00:05:22पासवर्ड को प्लेन टेक्स्ट में सहेजना विशेष रूप से गंभीर है क्योंकि एक साधारण दिखने वाली स्किल भी
00:05:26गलत निर्देशों के साथ विनाशकारी हो सकती है।
00:05:29अब सिर्फ स्किल्स ही एकमात्र चिंता नहीं हैं।
00:05:30हमें प्रॉम्प्ट इंजेक्शन के बारे में भी चिंता करनी होगी।
00:05:33OpenClaw की सुरक्षा नीति में स्पष्ट रूप से उल्लेख है कि इंजेक्शन हमलों को दायरे से बाहर माना जाता है,
00:05:37जिसका अर्थ है कि वे ऐसे हमलों के कारण होने वाली किसी भी जानकारी के लीक के लिए ज़िम्मेदार नहीं हैं।
00:05:42हमारा सुझाव OpenAI और Anthropic के मॉडल्स पर भरोसा करना है जिनमें अपने स्वयं के इन-बिल्ट
00:05:47गार्डरेल्स हैं, जिसका अर्थ है कि वे इन स्पष्ट हमलों के प्रति कम संवेदनशील हैं।
00:05:51भले ही OpenClaw में कोई अंतर्निहित गार्डरेल्स नहीं हैं, ये मॉडल्स स्वाभाविक रूप से खराब सुरक्षा प्रथाओं को
00:05:55पहचान सकते हैं और प्रॉम्प्ट इंजेक्शन के माध्यम से क्रेडेंशियल्स को उजागर होने से रोक सकते हैं जैसा कि OpenAI के साथ हमारे सेटअप ने
00:06:00क्रेडेंशियल्स देने से इनकार कर दिया था, भले ही हमने उसे बताया था कि हम सर्वर के मालिक हैं।
00:06:05लेकिन इन्हें चतुर इंजेक्शनों के साथ ओवरराइड भी किया जा सकता है।
00:06:08जहाँ तक स्किल्स की बात है, आपको यह सुनिश्चित करने की ज़रूरत है कि केवल वही स्किल्स
00:06:12जोड़ी जाएँ जो बिल्कुल ज़रूरी हों।
00:06:13ऐसी स्किल्स जिनमें पासवर्ड या अन्य संवेदनशील सिस्टम शामिल हैं और जिनकी आवश्यकता नहीं है, उन्हें
00:06:17जोड़ने से रोका जाना चाहिए ताकि AI गलती से ऐसा कुछ न कर दे जो आप नहीं चाहते।
00:06:22यदि आप कम्युनिटी से इंस्टॉल कर रहे हैं, तो स्कैनर को चलाना सुनिश्चित करें जो अब ओपन सोर्स है
00:06:26या केवल कम्युनिटी द्वारा सत्यापित स्किल्स ही इंस्टॉल करें।
00:06:29साथ ही अगर आप हमारे कंटेंट का आनंद ले रहे हैं, तो हाइप बटन दबाने पर विचार करें क्योंकि यह हमें
00:06:33इस तरह का और कंटेंट बनाने और अधिक लोगों तक पहुँचने में मदद करता है।
00:06:36अब OpenClaw की पहुँच आपके लगभग सभी सिस्टम्स तक है, इसलिए एक अच्छा अभ्यास यह सुनिश्चित करना है
00:06:41कि उसके पास किसी भी संवेदनशील डेटा तक पहुँच न हो।
00:06:44आदर्श रूप से, इसे एक अलग खाते में उपयोग करें जिसमें कोई संवेदनशील जानकारी न हो।
00:06:49भले ही इसके पास कुछ पहुँच हो, फिर भी यह आपके सिस्टम को नुकसान पहुँचाने में सक्षम नहीं होना चाहिए।
00:06:53सबसे अच्छा तरीका Docker का उपयोग करके इसे सैंडबॉक्स करना है क्योंकि Docker कंटेनर्स एक-दूसरे से अलग होते हैं
00:06:57और इनमें ऐसे प्रतिबंध शामिल होते हैं जो एक कंटेनर को अन्य सिस्टम संसाधनों तक पहुँचने से रोकते हैं।
00:07:03दूसरा विकल्प एक वर्चुअल मशीन बनाना है जिसमें केवल आपका OpenClaw सेटअप हो।
00:07:07मुख्य बात यह है कि जिस भी चीज़ का आप उपयोग नहीं कर रहे हैं, उसकी पहुँच हटा दें।
00:07:09उदाहरण के लिए, यदि आपने Discord कनेक्ट किया है लेकिन अब इसका उपयोग नहीं करना चाहते हैं, तो आप
00:07:13OpenClaw की एक्सेस को रिवोक (revoke) करने के लिए टोकन को रीसेट कर सकते हैं।
00:07:15इस तरह यह आपके सेटअप को बड़ा नुकसान नहीं पहुँचाएगा और आप इसका अधिकतम लाभ उठा सकते हैं।
00:07:19इसी के साथ हम इस वीडियो के अंत में पहुँचते हैं।
00:07:21अगर आप चैनल को सपोर्ट करना चाहते हैं और इस तरह के वीडियो बनाने में हमारी मदद करना चाहते हैं, तो आप
00:07:25नीचे दिए गए सुपर थैंक्स बटन का उपयोग करके ऐसा कर सकते हैं।
00:07:27हमेशा की तरह, देखने के लिए धन्यवाद और मैं आपसे अगले वीडियो में मिलूँगा।