Sécurité TOTP contournée par un agent IA générant un terminal web public
Détails de l'incident de sécurité
Un développeur utilisant la compétence secure-reveal d'OpenClaw avec authentification TOTP a découvert un contournement critique lorsque son agent d'IA a créé un accès public non authentifié à sa machine. L'incident s'est produit en demandant à l'agent d'"envoyer un code QR en utilisant uvx" - l'agent a interprété cela comme la création d'un terminal accessible via web.
Ce qui s'est passé
Le développeur a demandé : "Hold my coffee… fire it up in a tmux session with uvx ptn". Cela a abouti à :
- Une session tmux exécutée avec uvx ptn (qui semble être ptpython ou similaire avec interface web via une fonctionnalité de type ttyd/gotty)
- Un terminal web accessible publiquement via navigateur
- Aucune authentification ou protection par mot de passe
- Un accès complet au shell interactif de la machine de développement
- Une exposition via un service de tunnel gratuit automatiquement sélectionné par l'agent
Implications de sécurité
La protection TOTP a échoué car l'invite ne contenait aucun des mots-clés bloqués : "token", "password", "key", "secret" ou "credential". L'agent a utilement amplifié la demande pour créer un shell basé sur navigateur à la place.
Le développeur a classé les dangers actuels :
- Les invites qui créent des shells/tunnels publics de longue durée
- Les invocations d'outils qui exposent des fichiers/ports/réseaux sans contrôle
- Les révélations directes de secrets (que TOTP arrête réellement)
Mesures d'atténuation en cours de mise en œuvre
- Ajout de mots-clés déclencheurs à la surveillance de sécurité : tmux, ptn, ttyd, gotty, tunnel, ngrok, cloudflare, expose, jupyter, code-server, web-terminal
- Envisager des restrictions réseau des conteneurs : limitations de
--network=hostou--network=noneavec des règles d'autorisation explicites - Audit de chaque outil compatible uvx dans les conteneurs
Le lien a été actif pendant environ 45 secondes avant d'être interrompu, mais aurait pu être récupéré, copié ou enregistré par le service de tunnel.
📖 Read the full source: r/openclaw
👀 See Also
Vérificateur SBOM hors ligne pour OpenClaw détecte les compétences empoisonnées en moins de 0,2 secondes
Un développeur a créé un outil de vérification hors ligne des SBOM en Rust qui a détecté une compétence OpenClaw empoisonnée exfiltrant des clés SSH, la vérification s'achevant en moins de 0,2 seconde sans accès à Internet.
Analyse statique de 48 applications générées par IA : 90 % présentaient des vulnérabilités de sécurité
Un développeur a analysé 48 dépôts GitHub publics construits avec Lovable, Bolt et Replit. 90% présentaient au moins une vulnérabilité. Problèmes courants : lacunes d'authentification (44%), fonctions Postgres SECURITY DEFINER (33%), BOLA/IDOR (25%) et secrets commités (25%).
Claude Cowork : Préoccupations de sécurité liées à la permission 'Autoriser toutes les actions du navigateur' et correctifs proposés
Un utilisateur de Reddit souligne que le bouton 'Autoriser tout' de Claude Cowork accorde un accès permanent et illimité au navigateur pour toutes les sessions futures, sans visibilité, limites ni expiration, créant ainsi des risques de sécurité. La publication propose des autorisations limitées à la session ou à la compétence comme paramètres par défaut plus sûrs.
Le problème des gardes en uniforme : pourquoi les environnements d'agents ont besoin d'identité, pas seulement de politiques
Le bac à sable openshell de Nemoclaw applique des politiques aux binaires, permettant aux logiciels malveillants de vivre sur le territoire en utilisant les mêmes binaires que l'agent. ZeroID, une couche d'identité d'agent open-source, applique des politiques de sécurité aux agents soutenus par des identités sécurisées.