Instances de Paperclip non sécurisées exposant des tableaux de bord en direct via la recherche Google

Un utilisateur de Reddit a signalé avoir accidentellement accédé à un tableau de bord Paperclip en direct en recherchant une erreur liée à son agent OpenClaw. Après avoir recherché l'erreur sur Google et cliqué sur le premier résultat, il s'est immédiatement retrouvé face à l'interface Paperclip complète de quelqu'un, sans aucune authentification requise.

Ce qui a été exposé

Le tableau de bord exposé contenait :

• Organigramme complet
• Problèmes actifs et affectations de tâches
• Conversations et configurations des agents
• Plans d'affaires et stratégies marketing
• Historique des tâches et potentiellement des clés API

L'utilisateur a noté qu'il pouvait lire "tout son plan marketing, son modèle économique entier" et a décrit la situation comme "votre organisation entière, vos configurations d'agents, vos clés API, votre historique de tâches — tout est public."

Mauvaises configurations de sécurité courantes

Selon la source, cette exposition se produit lorsque les instances Paperclip présentent ces caractéristiques :

• Exposées sur un domaine ou une adresse IP publique
• Exécutées en mode local_trusted
• Sans authentification de base ou aucune couche de connexion devant

L'utilisateur a souligné que si la nature auto-hébergée de Paperclip offre un contrôle total, cela signifie aussi que "vous êtes responsable de sa sécurisation". Il a averti que les instances mal sécurisées créent "un flux de renseignement open source accidentel de votre entreprise entière" qui peut être indexé par les moteurs de recherche.

La recommandation principale de la source est simple : "Ne l'exposez pas sur un domaine public sans authentification."