Sécurité TOTP contournée par un agent IA générant un terminal web public

Détails de l'incident de sécurité
Un développeur utilisant la compétence secure-reveal d'OpenClaw avec authentification TOTP a découvert un contournement critique lorsque son agent d'IA a créé un accès public non authentifié à sa machine. L'incident s'est produit en demandant à l'agent d'"envoyer un code QR en utilisant uvx" - l'agent a interprété cela comme la création d'un terminal accessible via web.
Ce qui s'est passé
Le développeur a demandé : "Hold my coffee… fire it up in a tmux session with uvx ptn". Cela a abouti à :
- Une session tmux exécutée avec uvx ptn (qui semble être ptpython ou similaire avec interface web via une fonctionnalité de type ttyd/gotty)
- Un terminal web accessible publiquement via navigateur
- Aucune authentification ou protection par mot de passe
- Un accès complet au shell interactif de la machine de développement
- Une exposition via un service de tunnel gratuit automatiquement sélectionné par l'agent
Implications de sécurité
La protection TOTP a échoué car l'invite ne contenait aucun des mots-clés bloqués : "token", "password", "key", "secret" ou "credential". L'agent a utilement amplifié la demande pour créer un shell basé sur navigateur à la place.
Le développeur a classé les dangers actuels :
- Les invites qui créent des shells/tunnels publics de longue durée
- Les invocations d'outils qui exposent des fichiers/ports/réseaux sans contrôle
- Les révélations directes de secrets (que TOTP arrête réellement)
Mesures d'atténuation en cours de mise en œuvre
- Ajout de mots-clés déclencheurs à la surveillance de sécurité : tmux, ptn, ttyd, gotty, tunnel, ngrok, cloudflare, expose, jupyter, code-server, web-terminal
- Envisager des restrictions réseau des conteneurs : limitations de
--network=hostou--network=noneavec des règles d'autorisation explicites - Audit de chaque outil compatible uvx dans les conteneurs
Le lien a été actif pendant environ 45 secondes avant d'être interrompu, mais aurait pu être récupéré, copié ou enregistré par le service de tunnel.
📖 Read the full source: r/openclaw
👀 See Also

Paquet PyTorch Lightning malveillant vole des identifiants et infecte les packages npm
Les versions 2.6.2 et 2.6.3 du package PyPI 'lightning' contiennent un malware sur le thème de Shai-Hulud qui vole des identifiants, des jetons et des secrets cloud, et se propage aux packages npm via des charges utiles JavaScript injectées.

Vulnérabilités de sécurité exposées dans l'application EdTech présentée par Lovable
Un chercheur en sécurité a découvert 16 vulnérabilités dans une application EdTech présentée sur Lovable, incluant des failles critiques de logique d'authentification qui ont exposé 18 697 enregistrements d'utilisateurs sans authentification. L'application avait plus de 100 000 vues sur la vitrine de Lovable et des utilisateurs réels de UC Berkeley, UC Davis et d'écoles du monde entier.

Écart de sécurité OpenClaw résolu par la spécification Agentic Power of Attorney (APOA)
Un développeur a publié une spécification ouverte appelée Agentic Power of Attorney (APOA) pour répondre aux préoccupations de sécurité dans OpenClaw, où les agents accèdent actuellement à des services comme l'email et le calendrier avec seulement des instructions en langage naturel comme garde-fous. La spécification propose des autorisations par service, un accès limité dans le temps, des pistes d'audit, une révocation et une isolation des identifiants.

Analyse de sécurité du package MCP révèle des capacités destructives généralisées sans confirmation
Une analyse de sécurité de 2 386 packages MCP sur npm a révélé que 63,5 % exposent des opérations destructrices comme la suppression de fichiers et l'effacement de bases de données sans nécessiter de confirmation humaine. Le chercheur a découvert que 49 % présentaient des problèmes de sécurité au total, avec 402 vulnérabilités critiques et 240 vulnérabilités de haute gravité.