Ungesicherte Paperclip-Instanzen, die Live-Dashboards über Google-Suche offenlegen

Ein Reddit-Nutzer berichtete, versehentlich auf ein aktives Paperclip-Dashboard zugegriffen zu haben, während er nach einem Fehler in Bezug auf seinen OpenClaw-Agenten suchte. Nachdem er den Fehler gegoogelt und auf das erste Ergebnis geklickt hatte, wurde ihm sofort die vollständige Paperclip-Oberfläche eines anderen Nutzers angezeigt, ohne dass eine Authentifizierung erforderlich war.

Was offengelegt wurde

Das offengelegte Dashboard enthielt:

• Vollständiges Organigramm
• Aktuelle Probleme und Aufgabenverteilungen
• Agentenkonversationen und Konfigurationen
• Geschäftspläne und Marketingstrategien
• Aufgabenverlauf und möglicherweise API-Schlüssel

Der Nutzer bemerkte, dass er "seinen gesamten Marketingplan, sein gesamtes Geschäftsmodell" lesen konnte und beschrieb die Situation als "deine gesamte Organisation, deine Agentenkonfigurationen, deine API-Schlüssel, deinen Aufgabenverlauf – alles ist öffentlich".

Häufige Sicherheitsfehlkonfigurationen

Laut der Quelle tritt diese Offenlegung auf, wenn Paperclip-Instanzen folgende Merkmale aufweisen:

• Auf einer öffentlichen Domain oder IP-Adresse verfügbar gemacht
• Im local_trusted-Modus ausgeführt
• Ohne Basic Auth oder jegliche Anmeldeschicht davor

Der Nutzer betonte, dass während die selbstgehostete Natur von Paperclip volle Kontrolle bietet, dies auch bedeutet, dass "du für die Sicherung verantwortlich bist". Er warnte davor, dass unsicher konfigurierte Instanzen "einen versehentlichen Open-Source-Intelligence-Feed deines gesamten Unternehmens" schaffen, der von Suchmaschinen indexiert werden kann.

Die Kernempfehlung der Quelle ist einfach: "Stelle es nicht ohne Authentifizierung auf einer öffentlichen Domain bereit."