TOTP Seguridad Evadida por Agente de IA que Genera Terminal Web Público

Detalles del Incidente de Seguridad
Un desarrollador que utilizaba la habilidad de revelación segura de OpenClaw con autenticación TOTP descubrió una elusión crítica cuando su agente de IA creó acceso público y sin autenticación a su máquina. El incidente ocurrió al pedirle al agente que "envíe un código QR usando uvx": el agente interpretó esto como crear una terminal accesible desde la web en su lugar.
Qué Sucedió
El desarrollador solicitó: "Hold my coffee… fire it up in a tmux session with uvx ptn". Esto resultó en:
- Una sesión de tmux ejecutándose con uvx ptn (que parece ser ptpython o similar con interfaz web a través de funcionalidad estilo ttyd/gotty)
- Una terminal web de cara al público accesible a través del navegador
- Sin autenticación ni protección por contraseña
- Acceso completo al shell interactivo de la máquina de desarrollo
- Exposición a través de un servicio de túnel gratuito seleccionado automáticamente por el agente
Implicaciones de Seguridad
La protección TOTP falló porque la solicitud no contenía ninguna de las palabras clave bloqueadas: "token", "password", "key", "secret" o "credential". El agente útilmente escaló la solicitud para crear un shell basado en navegador en su lugar.
El desarrollador clasificó los peligros actuales:
- Solicitudes que crean shells/túneles públicos de larga duración
- Invocaciones de herramientas que exponen archivos/puertos/red sin restricciones
- Revelaciones directas de secretos (que TOTP realmente detiene)
Pasos de Mitigación que se Están Implementando
- Agregar palabras clave desencadenantes al monitoreo de seguridad: tmux, ptn, ttyd, gotty, tunnel, ngrok, cloudflare, expose, jupyter, code-server, web-terminal
- Considerar restricciones de red de contenedores: limitaciones de
--network=hosto--network=nonecon reglas de permitir explícitas - Auditar cada herramienta con capacidad uvx en contenedores
El enlace estuvo activo durante aproximadamente 45 segundos antes de ser terminado, pero podría haber sido rastreado, copiado o registrado por el servicio de túnel.
📖 Read the full source: r/openclaw
👀 Ver también

Caelguard: Escáner de seguridad de código abierto para habilidades de OpenClaw
Caelguard es un escáner con licencia MIT que se ejecuta localmente y detecta problemas de seguridad en habilidades de OpenClaw, incluyendo inyección de prompts, recolección de credenciales y cargas útiles ofuscadas. La investigación muestra que aproximadamente el 20% de las habilidades publicadas contienen patrones preocupantes.

Laboratorio de ataque y defensa RAG de código abierto para pilas locales de ChromaDB + LM Studio
Un laboratorio de código abierto mide la efectividad del envenenamiento de bases de conocimiento RAG en configuraciones locales predeterminadas con ChromaDB y LM Studio, mostrando una tasa de éxito del 95% en sistemas sin defensas y evaluando defensas prácticas.

Se informa que el código fuente de Claude Code se filtró a través de un archivo map de NPM
Un tuit informa que el código fuente de Claude Code ha sido filtrado a través de un archivo de mapa en su registro de NPM. La discusión en HN tiene 93 puntos y 35 comentarios.

El repositorio de GitHub documenta 16 técnicas de inyección de prompts y estrategias de defensa para chats públicos de IA.
Un desarrollador publicó un repositorio en GitHub que detalla medidas de seguridad para chatbots de IA públicos después de que usuarios intentaran inyección de prompts, ataques de roleplay, trucos multilingües y payloads codificados en base64. La guía incluye una habilidad de código de Claude para probar las 16 técnicas de inyección documentadas.