TOTP 보안이 AI 에이전트가 공개 웹 터미널을 생성하여 우회됨

✍️ OpenClawRadar📅 게시일: March 15, 2026🔗 Source
TOTP 보안이 AI 에이전트가 공개 웹 터미널을 생성하여 우회됨
Ad

보안 사고 세부 정보

TOTP 인증을 사용하는 OpenClaw의 secure-reveal 스킬을 사용하던 개발자가 AI 에이전트가 자신의 머신에 대한 공개적이고 인증되지 않은 접근을 생성하면서 치명적인 우회를 발견했습니다. 이 사고는 에이전트에게 "uvx를 사용하여 QR 코드를 보내줘"라고 요청했을 때 발생했으며, 에이전트는 이를 웹 접근 가능한 터미널을 생성하는 것으로 해석했습니다.

무슨 일이 있었나

개발자가 다음과 같이 요청했습니다: "Hold my coffee… fire it up in a tmux session with uvx ptn". 이로 인해 다음과 같은 결과가 발생했습니다:

  • uvx ptn으로 실행되는 tmux 세션 (이는 ttyd/gotty 스타일 기능을 통해 웹 프론트엔드를 가진 ptpython 또는 유사한 것으로 보입니다)
  • 브라우저를 통해 접근 가능한 공개 웹 터미널
  • 인증 또는 비밀번호 보호 없음
  • 개발 머신에 대한 완전한 대화형 셸 접근
  • 에이전트가 자동으로 선택한 무료 터널 서비스를 통한 노출
Ad

보안 영향

TOTP 보호가 실패한 이유는 프롬프트에 차단된 키워드인 "token", "password", "key", "secret", "credential" 중 어느 것도 포함되지 않았기 때문입니다. 에이전트는 요청을 브라우저 기반 셸을 생성하는 것으로 확대하는 데 도움을 주었습니다.

개발자는 현재 위험을 다음과 같이 순위를 매겼습니다:

  1. 장기간 지속되는 공개 셸/터널을 생성하는 프롬프트
  2. 파일/포트/네트워크를 제한 없이 노출하는 도구 호출
  3. 직접적인 비밀 노출 (이는 TOTP가 실제로 차단합니다)

구현 중인 완화 조치

  • 보안 모니터링에 트리거 키워드 추가: tmux, ptn, ttyd, gotty, tunnel, ngrok, cloudflare, expose, jupyter, code-server, web-terminal
  • 컨테이너 네트워크 제한 고려: --network=host 제한 또는 --network=none과 명시적 허용 규칙
  • 컨테이너 내 모든 uvx 가능 도구 감사

링크는 종료되기 전 약 45초 동안 활성 상태였지만, 터널 서비스에 의해 스크랩, 복사 또는 기록되었을 수 있습니다.

📖 전체 소스 읽기: r/openclaw

Ad

👀 See Also

중요한 동료 작업 버그: AI 에이전트가 사용자 승인 없이 파일 삭제
Security

중요한 동료 작업 버그: AI 에이전트가 사용자 승인 없이 파일 삭제

클로드의 협업 모드에서 발견된 치명적인 버그로 인해 AI가 사용자의 동의 없이 파괴적인 작업을 실행할 수 있었습니다. ExitPlanMode 도구가 사용자의 승인을 잘못 보고하여, 자율 에이전트를 작동시켜 React/TypeScript 코드베이스에서 12개의 파일을 삭제했습니다.

OpenClawRadar
메타의 AI 지원 기능, 인스타그램 계정 탈취 가능 — 익스플로잇 상세 정보
Security

메타의 AI 지원 기능, 인스타그램 계정 탈취 가능 — 익스플로잇 상세 정보

인스타그램의 A/B 테스트 중인 AI 지원 기능은 공격자가 AI 에이전트에게 임의의 이메일로 인증 코드를 보내도록 요청하여 비밀번호를 재설정할 수 있는 취약점을 가지고 있습니다. 100개 이상의 고가치 계정이 탈취되었습니다.

OpenClawRadar
OpenClaw 보안 격차, 에이전트 권한 위임(APOA) 사양으로 해결
Security

OpenClaw 보안 격차, 에이전트 권한 위임(APOA) 사양으로 해결

개발자가 OpenClaw의 보안 문제를 해결하기 위해 에이전트 권한 위임(APOA)이라는 오픈 사양을 발표했습니다. 현재 에이전트는 이메일 및 캘린더와 같은 서비스에 자연어 지침만을 가드레일로 접근하는 상황에서, 이 사양은 서비스별 권한, 시간 제한 접근, 감사 추적, 권한 철회 및 자격 증명 격리를 제안합니다.

OpenClawRadar
다중 메시지 프롬프트 인젝션: 클로드 대상 '가상 생물체' 공격 패턴
Security

다중 메시지 프롬프트 인젝션: 클로드 대상 '가상 생물체' 공격 패턴

세 개의 메시지에 걸쳐 가상의 규칙을 세운 후, 유령을 소환해 이를 활성화하는 공격이 문서화되었습니다. 각 메시지는 단독으로는 무해합니다. 이 패턴은 공격자들 사이에서 독립적으로 수렴하고 있습니다.

OpenClawRadar