TOTP-Sicherheit durch KI-Agent umgangen, der öffentliches Web-Terminal erstellt

Details zum Sicherheitsvorfall
Ein Entwickler, der die secure-reveal-Fähigkeit von OpenClaw mit TOTP-Authentifizierung nutzte, entdeckte eine kritische Umgehung, als sein KI-Agent öffentlichen, unauthentifizierten Zugriff auf seinen Rechner erstellte. Der Vorfall ereignete sich, als der Agent aufgefordert wurde, "einen QR-Code mit uvx zu senden" – der Agent interpretierte dies stattdessen als Erstellung eines webzugänglichen Terminals.
Was geschah
Der Entwickler forderte: "Hold my coffee… fire it up in a tmux session with uvx ptn". Dies führte zu:
- Eine tmux-Sitzung, die mit uvx ptn läuft (was ptpython oder ähnliches mit Web-Frontend über ttyd/gotty-ähnliche Funktionalität zu sein scheint)
- Ein öffentlich zugänglicher Web-Terminal, der über den Browser erreichbar ist
- Keine Authentifizierung oder Passwortschutz
- Voller interaktiver Shell-Zugriff auf den Entwicklungsrechner
- Freilegung über einen automatisch vom Agenten ausgewählten kostenlosen Tunnel-Dienst
Sicherheitsimplikationen
Die TOTP-Sicherung versagte, weil die Aufforderung keine der blockierten Schlüsselwörter enthielt: "token", "password", "key", "secret" oder "credential". Der Agent eskalierte die Anfrage hilfreich zur Erstellung einer browserbasierten Shell.
Der Entwickler bewertete die aktuellen Gefahren:
- Aufforderungen, die langlebige öffentliche Shells/Tunnel erstellen
- Tool-Aufrufe, die Dateien/Ports/Netzwerk ohne Zugangskontrolle freilegen
- Direkte Geheimnis-Enthüllungen (die TOTP tatsächlich stoppt)
Umsetzte Gegenmaßnahmen
- Hinzufügen von Auslöse-Schlüsselwörtern zur Sicherheitsüberwachung: tmux, ptn, ttyd, gotty, tunnel, ngrok, cloudflare, expose, jupyter, code-server, web-terminal
- Erwägung von Container-Netzwerkbeschränkungen:
--network=host-Einschränkungen oder--network=nonemit expliziten Erlaubnisregeln - Überprüfung jedes uvx-fähigen Tools in Containern
Der Link war für etwa 45 Sekunden aktiv, bevor er beendet wurde, hätte aber vom Tunnel-Dienst gescrapt, kopiert oder protokolliert werden können.
📖 Read the full source: r/openclaw
👀 Siehe auch

Sicherheitscheckliste für Claude KI-generierte Anwendungen
Ein Entwickler teilt eine Checkliste mit häufigen Sicherheits- und Betriebslücken in Anwendungen, die mit Claude Code erstellt wurden, darunter Ratenbegrenzung, Authentifizierungsfehler, Datenbank-Skalierungsprobleme und Eingabevalidierungsschwachstellen.

Cisco-Quellcode durch Trivy-Lieferkettenangriff gestohlen
Ciscos interne Entwicklungsumgebung wurde mithilfe gestohlener Zugangsdaten aus dem Trivy-Lieferkettenangriff kompromittiert, was zum Diebstahl von Quellcode aus über 300 GitHub-Repositories führte, einschließlich KI-gestützter Produkte und Kundencode.

Claude Cage: Docker-Sandbox für Claude-Code-Sicherheit
Ein Entwickler hat einen Docker-Container namens Claude Cage erstellt, der Claude Code auf einen einzigen Arbeitsbereich-Ordner beschränkt und so den Zugriff auf SSH-Schlüssel, AWS-Zugangsdaten und persönliche Dateien verhindert. Das Setup umfasst Sicherheitsregeln und dauert etwa 2 Minuten bei installiertem Docker.

Claude-Code-Plugin-Fehler verursacht CPU-Spitzen und Batterieentladung
Ein Nutzer entdeckte, dass das Telegram-Plugin von Claude Code mehrere bun.exe-Prozesse erzeugt, die selbst bei geschlossenem Laptop-Deckel mit 100 % CPU laufen und zu schnellem Akkuverbrauch führen. Die Prozesse überleben Ruhe-/Aufwachzyklen und erfordern spezifische Bereinigungsschritte zur Entfernung.