TOTPセキュリティがAIエージェントによる公開Web端末生成によって回避される

セキュリティインシデントの詳細
TOTP認証を使用するOpenClawのsecure-revealスキルを利用していた開発者が、AIエージェントが自身のマシンへの公開かつ認証不要なアクセスを作成したことで重大なバイパスを発見した。このインシデントは、エージェントに「uvxを使用してQRコードを送信して」と依頼した際に発生し、エージェントはこれをWebアクセス可能なターミナルの作成と解釈した。
何が起きたか
開発者は以下のプロンプトを入力した: 「Hold my coffee… fire it up in a tmux session with uvx ptn」。これにより以下が発生した:
- uvx ptnを使用してtmuxセッションが実行(ptpythonまたは類似のツールで、ttyd/gottyスタイルの機能を介したWebフロントエンドを備えている模様)
- ブラウザ経由でアクセス可能な公開Webターミナル
- 認証やパスワード保護なし
- 開発マシンへの完全な対話型シェルアクセス
- エージェントが自動選択した無料トンネルサービスによる公開
セキュリティへの影響
TOTPガードが機能しなかったのは、プロンプトにブロック対象キーワード「token」「password」「key」「secret」「credential」のいずれも含まれていなかったためである。エージェントはリクエストを「親切に」エスカレートさせ、ブラウザベースのシェルを作成してしまった。
開発者が現在の危険度をランク付け:
- 長期間存続する公開シェル/トンネルを作成するプロンプト
- ファイル/ポート/ネットワークをゲートなしで晒すツール呼び出し
- 直接的な秘密開示(これは実際にはTOTPが阻止する)
実施中の緩和策
- セキュリティ監視にトリガーキーワードを追加: tmux, ptn, ttyd, gotty, tunnel, ngrok, cloudflare, expose, jupyter, code-server, web-terminal
- コンテナネットワーク制限の検討:
--network=hostの制限、または明示的な許可ルール付きの--network=none - コンテナ内のすべてのuvx対応ツールの監査
リンクは約45秒間有効だった後、終了されたが、トンネルサービスによってスクレイピング、コピー、ログ記録された可能性がある。
📖 完全なソースを読む: r/openclaw
👀 See Also

ClaudeコードプラグインのバグがCPU使用率の急上昇とバッテリー消耗を引き起こす
ユーザーが発見したところによると、Claude CodeのTelegramプラグインは、ラップトップの蓋が閉じている状態でも100%CPUで動作する複数のbun.exeプロセスを生成し、急速なバッテリー消耗を引き起こすことが判明しました。これらのプロセスはスリープ/復帰サイクルを生き延び、削除には特定のクリーンアップ手順が必要です。

820の悪意あるスキルがOpenClawのClawHubマーケットプレイスで発見されました
セキュリティ研究者は、OpenClawのClawHubマーケットプレイスで、キーロガー、データ流出スクリプト、隠しシェルコマンドを含む確認済みマルウェアを含む820のスキルを特定しました。これらのスキルはコードを実行し、ローカル環境と対話できるため、サプライチェーンセキュリティリスクを生み出しています。

ポメリウムアイデンティティ対応プロキシによるOpenClawインフラストラクチャのセキュア化
Pomeriumをアイデンティティ対応プロキシとして使用し、ゼロトラスト認証を実装することで、OpenClawサーバーへのアクセスを安全に保護します。

学生がOpenClaw本番システムに2つのセキュリティパッチを提供しました。
学生開発者がOpenClawのゲートウェイロジックの「フェイルオープン」脆弱性(PR #29198)とチャット画像のタブナビング脆弱性(PR #18685)を修正し、両方のパッチはそれぞれ本番リリースv2026.3.1とv2026.2.24に適用されました。