Google検索で公開されているセキュリティ対策されていないペーパークリップインスタンスによるライブダッシュボードの露出

Redditユーザーが、OpenClawエージェントに関連するエラーを検索中に、誤ってライブのPaperclipダッシュボードにアクセスしたと報告しました。エラーをGoogleで検索し最初の結果をクリックすると、認証を一切必要とせずに、誰かの完全なPaperclipインターフェースがすぐに表示されました。

公開されていた内容

公開されていたダッシュボードには以下が含まれていました：

• 完全な組織図
• アクティブな課題とタスクの割り当て
• エージェントの会話と設定
• 事業計画とマーケティング戦略
• タスク履歴、および潜在的にAPIキー

ユーザーは、「彼のマーケティング計画全体、彼のビジネスモデル全体」を読み通すことができたと述べ、この状況を「組織全体、エージェント設定、APIキー、タスク履歴——すべてが公開されている」と表現しました。

一般的なセキュリティ設定ミス

情報源によると、このような公開は、Paperclipインスタンスが以下の特徴を持つ場合に発生します：

• パブリックドメインまたはIPアドレスで公開されている
• local_trustedモードで実行されている
• Basic Authやログイン層が前面に配置されていない

ユーザーは、Paperclipのセルフホスト型の性質が完全な制御を提供する一方で、「それを保護する責任は自分にある」ことも意味すると強調しました。不適切に保護されたインスタンスは、「検索エンジンによってインデックス可能な、会社全体の偶発的なオープンソースインテリジェンスフィード」を作り出すと警告しました。

情報源からの核心的な推奨事項は明快です：「認証なしでパブリックドメインに公開しないでください。」