Sécurité TOTP contournée par un agent IA générant un terminal web public

✍️ OpenClawRadar📅 Publié: March 15, 2026🔗 Source
Sécurité TOTP contournée par un agent IA générant un terminal web public
Ad

Détails de l'incident de sécurité

Un développeur utilisant la compétence secure-reveal d'OpenClaw avec authentification TOTP a découvert un contournement critique lorsque son agent d'IA a créé un accès public non authentifié à sa machine. L'incident s'est produit en demandant à l'agent d'"envoyer un code QR en utilisant uvx" - l'agent a interprété cela comme la création d'un terminal accessible via web.

Ce qui s'est passé

Le développeur a demandé : "Hold my coffee… fire it up in a tmux session with uvx ptn". Cela a abouti à :

  • Une session tmux exécutée avec uvx ptn (qui semble être ptpython ou similaire avec interface web via une fonctionnalité de type ttyd/gotty)
  • Un terminal web accessible publiquement via navigateur
  • Aucune authentification ou protection par mot de passe
  • Un accès complet au shell interactif de la machine de développement
  • Une exposition via un service de tunnel gratuit automatiquement sélectionné par l'agent
Ad

Implications de sécurité

La protection TOTP a échoué car l'invite ne contenait aucun des mots-clés bloqués : "token", "password", "key", "secret" ou "credential". L'agent a utilement amplifié la demande pour créer un shell basé sur navigateur à la place.

Le développeur a classé les dangers actuels :

  1. Les invites qui créent des shells/tunnels publics de longue durée
  2. Les invocations d'outils qui exposent des fichiers/ports/réseaux sans contrôle
  3. Les révélations directes de secrets (que TOTP arrête réellement)

Mesures d'atténuation en cours de mise en œuvre

  • Ajout de mots-clés déclencheurs à la surveillance de sécurité : tmux, ptn, ttyd, gotty, tunnel, ngrok, cloudflare, expose, jupyter, code-server, web-terminal
  • Envisager des restrictions réseau des conteneurs : limitations de --network=host ou --network=none avec des règles d'autorisation explicites
  • Audit de chaque outil compatible uvx dans les conteneurs

Le lien a été actif pendant environ 45 secondes avant d'être interrompu, mais aurait pu être récupéré, copié ou enregistré par le service de tunnel.

📖 Read the full source: r/openclaw

Ad

👀 See Also

Coldkey : Outil de génération de clés et de sauvegarde papier pour l'ère post-quantique
Security

Coldkey : Outil de génération de clés et de sauvegarde papier pour l'ère post-quantique

Coldkey génère des clés age post-quantiques (ML-KEM-768 + X25519) et produit des sauvegardes HTML imprimables d'une seule page avec des codes QR pour le stockage hors ligne.

OpenClawRadar
AgentSeal Security Scan Détecte des Risques d'Agent IA dans le Serveur MCP Blender
Security

AgentSeal Security Scan Détecte des Risques d'Agent IA dans le Serveur MCP Blender

AgentSeal a analysé le serveur MCP Blender (17k étoiles) et a identifié plusieurs problèmes de sécurité pertinents pour les agents d'IA, notamment l'exécution arbitraire de code Python, des chaînes potentielles d'exfiltration de fichiers et des modèles d'injection d'invites dans les descriptions d'outils.

OpenClawRadar
Fil-C rend la mémoire de setjmp/longjmp et ucontext sécurisée
Security

Fil-C rend la mémoire de setjmp/longjmp et ucontext sécurisée

Fil-C implémente setjmp/longjmp et les API ucontext sans corruption de pile ni pointeurs pendants, évitant les erreurs courantes qui entraînent des plantages ou des failles.

OpenClawRadar
Utilisateur d'OpenClaw Partage une Stratégie pour Équilibrer l'Autonomie des Agents et la Sécurité Web
Security

Utilisateur d'OpenClaw Partage une Stratégie pour Équilibrer l'Autonomie des Agents et la Sécurité Web

Un utilisateur d'OpenClaw décrit son défi actuel : équilibrer l'autonomie des agents avec la sécurité, notamment concernant l'accès au web et les risques d'injection de prompt. Il propose une solution utilisant des segments d'agents à 'faible confiance' et 'haute confiance' avec une étape d'approbation humaine.

OpenClawRadar