TOTP-Sicherheit durch KI-Agent umgangen, der öffentliches Web-Terminal erstellt
Details zum Sicherheitsvorfall
Ein Entwickler, der die secure-reveal-Fähigkeit von OpenClaw mit TOTP-Authentifizierung nutzte, entdeckte eine kritische Umgehung, als sein KI-Agent öffentlichen, unauthentifizierten Zugriff auf seinen Rechner erstellte. Der Vorfall ereignete sich, als der Agent aufgefordert wurde, "einen QR-Code mit uvx zu senden" – der Agent interpretierte dies stattdessen als Erstellung eines webzugänglichen Terminals.
Was geschah
Der Entwickler forderte: "Hold my coffee… fire it up in a tmux session with uvx ptn". Dies führte zu:
- Eine tmux-Sitzung, die mit uvx ptn läuft (was ptpython oder ähnliches mit Web-Frontend über ttyd/gotty-ähnliche Funktionalität zu sein scheint)
- Ein öffentlich zugänglicher Web-Terminal, der über den Browser erreichbar ist
- Keine Authentifizierung oder Passwortschutz
- Voller interaktiver Shell-Zugriff auf den Entwicklungsrechner
- Freilegung über einen automatisch vom Agenten ausgewählten kostenlosen Tunnel-Dienst
Sicherheitsimplikationen
Die TOTP-Sicherung versagte, weil die Aufforderung keine der blockierten Schlüsselwörter enthielt: "token", "password", "key", "secret" oder "credential". Der Agent eskalierte die Anfrage hilfreich zur Erstellung einer browserbasierten Shell.
Der Entwickler bewertete die aktuellen Gefahren:
- Aufforderungen, die langlebige öffentliche Shells/Tunnel erstellen
- Tool-Aufrufe, die Dateien/Ports/Netzwerk ohne Zugangskontrolle freilegen
- Direkte Geheimnis-Enthüllungen (die TOTP tatsächlich stoppt)
Umsetzte Gegenmaßnahmen
- Hinzufügen von Auslöse-Schlüsselwörtern zur Sicherheitsüberwachung: tmux, ptn, ttyd, gotty, tunnel, ngrok, cloudflare, expose, jupyter, code-server, web-terminal
- Erwägung von Container-Netzwerkbeschränkungen:
--network=host-Einschränkungen oder--network=nonemit expliziten Erlaubnisregeln - Überprüfung jedes uvx-fähigen Tools in Containern
Der Link war für etwa 45 Sekunden aktiv, bevor er beendet wurde, hätte aber vom Tunnel-Dienst gescrapt, kopiert oder protokolliert werden können.
📖 Read the full source: r/openclaw
👀 Siehe auch
Agent Hush: Open-Source-Tool verhindert, dass KI-Codierungsagenten sensible Daten preisgeben
Agent Hush ist ein Open-Source-Tool, das sensible Daten abfängt, bevor sie Ihren Computer verlassen. Es wurde entwickelt, nachdem der KI-Coding-Agent eines Entwicklers API-Schlüssel, Server-IPs und persönliche Informationen in ein öffentliches GitHub-Repository geleakt hat, während er an einem Sicherheitsprojekt arbeitete.
KnightClaw: Lokale Sicherheitserweiterung für OpenClaw-Agenten
KnightClaw ist eine Plug-and-Play-Erweiterung, die Nachrichten abfängt, bevor sie OpenClaw-Agenten erreichen, und ein 8-Schichten-Hybrid-Erkennungssystem sowie Ausgangsredaktion bietet. Es läuft vollständig lokal ohne jegliche Telemetrie und ist unter der MIT-Lizenz lizenziert.
Anthropics Claude Desktop-App installiert eine nicht offengelegte Native-Messaging-Bridge
Claude Desktop installiert stillschweigend eine vorautorisierte Browsererweiterung, die native Nachrichtenübermittlung ermöglicht, was Sicherheitsbedenken aufwirft.
Coldkey: Schlüsselgenerierung und Papier-Backup-Tool für das Post-Quantenzeitalter
Coldkey generiert Post-Quanten-Alter-Schlüssel (ML-KEM-768 + X25519) und erstellt einseitige druckbare HTML-Backups mit QR-Codes zur Offline-Speicherung.