Instances de Paperclip non sécurisées exposant des tableaux de bord en direct via la recherche Google

Un utilisateur de Reddit a signalé avoir accidentellement accédé à un tableau de bord Paperclip en direct en recherchant une erreur liée à son agent OpenClaw. Après avoir recherché l'erreur sur Google et cliqué sur le premier résultat, il s'est immédiatement retrouvé face à l'interface Paperclip complète de quelqu'un, sans aucune authentification requise.
Ce qui a été exposé
Le tableau de bord exposé contenait :
- Organigramme complet
- Problèmes actifs et affectations de tâches
- Conversations et configurations des agents
- Plans d'affaires et stratégies marketing
- Historique des tâches et potentiellement des clés API
L'utilisateur a noté qu'il pouvait lire "tout son plan marketing, son modèle économique entier" et a décrit la situation comme "votre organisation entière, vos configurations d'agents, vos clés API, votre historique de tâches — tout est public."
Mauvaises configurations de sécurité courantes
Selon la source, cette exposition se produit lorsque les instances Paperclip présentent ces caractéristiques :
- Exposées sur un domaine ou une adresse IP publique
- Exécutées en mode local_trusted
- Sans authentification de base ou aucune couche de connexion devant
L'utilisateur a souligné que si la nature auto-hébergée de Paperclip offre un contrôle total, cela signifie aussi que "vous êtes responsable de sa sécurisation". Il a averti que les instances mal sécurisées créent "un flux de renseignement open source accidentel de votre entreprise entière" qui peut être indexé par les moteurs de recherche.
La recommandation principale de la source est simple : "Ne l'exposez pas sur un domaine public sans authentification."
📖 Read the full source: r/openclaw
👀 See Also

5 compétences malveillantes d'OpenClaw ayant passé ClawScan + VirusTotal : analyse de l'Unité 42
Unit 42 a identifié cinq compétences OpenClaw malveillantes qui ont contourné ClawScan et VirusTotal. Les techniques incluaient l'échange dynamique de références, la mise en commun de SOL pour des rug pulls et un README de 22 Mo pour masquer un dropper AMOS.

Test des modèles Qwen 3.5 35B non censurés pour les questions de cybersécurité
Un professionnel de la cybersécurité a testé trois modèles Qwen 3.5 35B non censurés sur des questions de piratage et de contournement de sécurité, constatant des différences significatives dans la qualité des réponses par rapport au modèle original censuré. Les modèles non censurés ont systématiquement fourni des réponses là où le modèle original refusait ou donnait des réponses incomplètes.

Des chercheurs de l'U de T démontrent un ver d'IA alimentable par des modèles ouverts gratuits
Des chercheurs de l'Université de Toronto ont démontré le premier ver informatique alimenté par l'IA qui adapte sa stratégie de propagation à l'aide de modèles open-weight accessibles au public, ciblant n'importe quel appareil en ligne.

Claude Code Identifie un Backdoor Malveillant dans un Dépôt GitHub lors d'un Audit Technique
Un développeur a utilisé Claude Code pour auditer un dépôt GitHub avant son exécution et a découvert une porte dérobée d'exécution de code à distance dans src/server/routes/auth.js qui aurait compromis sa machine. L'invite demandait un audit de diligence technique vérifiant l'exhaustivité du projet, la couche IA/ML, la base de données, l'authentification, les services backend, le frontend, la qualité du code et une estimation de l'effort.