Instancias de Paperclip sin Seguridad Expuestas a través de Búsquedas de Google

Un usuario de Reddit reportó haber accedido accidentalmente a un panel de control en vivo de Paperclip mientras buscaba un error relacionado con su agente OpenClaw. Después de buscar el error en Google y hacer clic en el primer resultado, se le presentó inmediatamente la interfaz completa de Paperclip de alguien sin requerir ninguna autenticación.

Qué Se Expuso

El panel de control expuesto contenía:

• Organigrama completo
• Problemas activos y asignaciones de tareas
• Conversaciones y configuraciones de agentes
• Planes de negocio y estrategias de marketing
• Historial de tareas y potencialmente claves API

El usuario señaló que podía leer "todo su plan de marketing, todo su modelo de negocio" y describió la situación como "toda tu organización, tus configuraciones de agentes, tus claves API, tu historial de tareas — todo está público".

Configuraciones Incorrectas de Seguridad Comunes

Según la fuente, esta exposición ocurre cuando las instancias de Paperclip tienen estas características:

• Expuestas en un dominio o dirección IP pública
• Ejecutándose en modo local_trusted
• Sin autenticación básica o cualquier capa de inicio de sesión por delante

El usuario enfatizó que aunque la naturaleza autoalojada de Paperclip proporciona control total, también significa "eres responsable de asegurarlo". Advirtió que las instancias mal aseguradas crean "una fuente de inteligencia de código abierto accidental de toda tu empresa" que puede ser indexada por motores de búsqueda.

La recomendación principal de la fuente es sencilla: "No lo expongas en un dominio público sin autenticación".