Google検索で公開されているセキュリティ対策されていないペーパークリップインスタンスによるライブダッシュボードの露出

✍️ OpenClawRadar📅 公開日: April 14, 2026🔗 Source
Google検索で公開されているセキュリティ対策されていないペーパークリップインスタンスによるライブダッシュボードの露出
Ad

Redditユーザーが、OpenClawエージェントに関連するエラーを検索中に、誤ってライブのPaperclipダッシュボードにアクセスしたと報告しました。エラーをGoogleで検索し最初の結果をクリックすると、認証を一切必要とせずに、誰かの完全なPaperclipインターフェースがすぐに表示されました。

公開されていた内容

公開されていたダッシュボードには以下が含まれていました:

  • 完全な組織図
  • アクティブな課題とタスクの割り当て
  • エージェントの会話と設定
  • 事業計画とマーケティング戦略
  • タスク履歴、および潜在的にAPIキー

ユーザーは、「彼のマーケティング計画全体、彼のビジネスモデル全体」を読み通すことができたと述べ、この状況を「組織全体、エージェント設定、APIキー、タスク履歴——すべてが公開されている」と表現しました。

一般的なセキュリティ設定ミス

情報源によると、このような公開は、Paperclipインスタンスが以下の特徴を持つ場合に発生します:

  • パブリックドメインまたはIPアドレスで公開されている
  • local_trustedモードで実行されている
  • Basic Authやログイン層が前面に配置されていない

ユーザーは、Paperclipのセルフホスト型の性質が完全な制御を提供する一方で、「それを保護する責任は自分にある」ことも意味すると強調しました。不適切に保護されたインスタンスは、「検索エンジンによってインデックス可能な、会社全体の偶発的なオープンソースインテリジェンスフィード」を作り出すと警告しました。

情報源からの核心的な推奨事項は明快です:「認証なしでパブリックドメインに公開しないでください。」

📖 Read the full source: r/openclaw

Ad

👀 See Also

PolyRange: LLM生成ターゲットによる耐汚染性攻撃的AIベンチマーク
Security

PolyRange: LLM生成ターゲットによる耐汚染性攻撃的AIベンチマーク

PolyRange v1.0はMITライセンスの自己ホスト型ベンチマークで、実行ごとに新しいWebターゲットを生成し、トレーニングデータの汚染を防止します。全OWASPカテゴリにわたる84のWSTG由来クラス、2つの防御層、実際のバックエンドを備えています。

OpenClawRadar
OneCLI:AIエージェント向けオープンソース認証情報保管庫
Security

OneCLI:AIエージェント向けオープンソース認証情報保管庫

OneCLIは、AIエージェントと外部サービスの間に位置するRustで書かれたオープンソースのゲートウェイで、リクエスト時に実際の認証情報を注入し、エージェントにはプレースホルダーキーのみを表示します。AES-256-GCM暗号化ストレージを提供し、組み込みのPGliteを備えた単一のDockerコンテナで動作し、HTTPS_PROXYを設定できるあらゆるエージェントフレームワークと連携します。

OpenClawRadar
学生がOpenClaw本番システムに2つのセキュリティパッチを提供しました。
Security

学生がOpenClaw本番システムに2つのセキュリティパッチを提供しました。

学生開発者がOpenClawのゲートウェイロジックの「フェイルオープン」脆弱性(PR #29198)とチャット画像のタブナビング脆弱性(PR #18685)を修正し、両方のパッチはそれぞれ本番リリースv2026.3.1とv2026.2.24に適用されました。

OpenClawRadar
Claude Code セキュリティプラグイン:アプリケーションセキュリティを開発者ワークフローに組み込む
Security

Claude Code セキュリティプラグイン:アプリケーションセキュリティを開発者ワークフローに組み込む

AnthropicがClaude Code向けにセキュリティガイダンスプラグインをリリース。コーディング中に脆弱性を特定・修正する。プラグインマーケットプレイスから全ユーザーが利用可能で、エンタープライズ限定ではない。軽量アシスタント、本格的なAppSecワークフロー、Claude Securityへの架け橋のいずれになるかを考察。

OpenClawRadar