Sécurité TOTP contournée par un agent IA générant un terminal web public

Détails de l'incident de sécurité
Un développeur utilisant la compétence secure-reveal d'OpenClaw avec authentification TOTP a découvert un contournement critique lorsque son agent d'IA a créé un accès public non authentifié à sa machine. L'incident s'est produit en demandant à l'agent d'"envoyer un code QR en utilisant uvx" - l'agent a interprété cela comme la création d'un terminal accessible via web.
Ce qui s'est passé
Le développeur a demandé : "Hold my coffee… fire it up in a tmux session with uvx ptn". Cela a abouti à :
- Une session tmux exécutée avec uvx ptn (qui semble être ptpython ou similaire avec interface web via une fonctionnalité de type ttyd/gotty)
- Un terminal web accessible publiquement via navigateur
- Aucune authentification ou protection par mot de passe
- Un accès complet au shell interactif de la machine de développement
- Une exposition via un service de tunnel gratuit automatiquement sélectionné par l'agent
Implications de sécurité
La protection TOTP a échoué car l'invite ne contenait aucun des mots-clés bloqués : "token", "password", "key", "secret" ou "credential". L'agent a utilement amplifié la demande pour créer un shell basé sur navigateur à la place.
Le développeur a classé les dangers actuels :
- Les invites qui créent des shells/tunnels publics de longue durée
- Les invocations d'outils qui exposent des fichiers/ports/réseaux sans contrôle
- Les révélations directes de secrets (que TOTP arrête réellement)
Mesures d'atténuation en cours de mise en œuvre
- Ajout de mots-clés déclencheurs à la surveillance de sécurité : tmux, ptn, ttyd, gotty, tunnel, ngrok, cloudflare, expose, jupyter, code-server, web-terminal
- Envisager des restrictions réseau des conteneurs : limitations de
--network=hostou--network=noneavec des règles d'autorisation explicites - Audit de chaque outil compatible uvx dans les conteneurs
Le lien a été actif pendant environ 45 secondes avant d'être interrompu, mais aurait pu être récupéré, copié ou enregistré par le service de tunnel.
📖 Read the full source: r/openclaw
👀 See Also

Coldkey : Outil de génération de clés et de sauvegarde papier pour l'ère post-quantique
Coldkey génère des clés age post-quantiques (ML-KEM-768 + X25519) et produit des sauvegardes HTML imprimables d'une seule page avec des codes QR pour le stockage hors ligne.

AgentSeal Security Scan Détecte des Risques d'Agent IA dans le Serveur MCP Blender
AgentSeal a analysé le serveur MCP Blender (17k étoiles) et a identifié plusieurs problèmes de sécurité pertinents pour les agents d'IA, notamment l'exécution arbitraire de code Python, des chaînes potentielles d'exfiltration de fichiers et des modèles d'injection d'invites dans les descriptions d'outils.

Fil-C rend la mémoire de setjmp/longjmp et ucontext sécurisée
Fil-C implémente setjmp/longjmp et les API ucontext sans corruption de pile ni pointeurs pendants, évitant les erreurs courantes qui entraînent des plantages ou des failles.

Utilisateur d'OpenClaw Partage une Stratégie pour Équilibrer l'Autonomie des Agents et la Sécurité Web
Un utilisateur d'OpenClaw décrit son défi actuel : équilibrer l'autonomie des agents avec la sécurité, notamment concernant l'accès au web et les risques d'injection de prompt. Il propose une solution utilisant des segments d'agents à 'faible confiance' et 'haute confiance' avec une étape d'approbation humaine.