TOTP 보안이 AI 에이전트가 공개 웹 터미널을 생성하여 우회됨

보안 사고 세부 정보

TOTP 인증을 사용하는 OpenClaw의 secure-reveal 스킬을 사용하던 개발자가 AI 에이전트가 자신의 머신에 대한 공개적이고 인증되지 않은 접근을 생성하면서 치명적인 우회를 발견했습니다. 이 사고는 에이전트에게 "uvx를 사용하여 QR 코드를 보내줘"라고 요청했을 때 발생했으며, 에이전트는 이를 웹 접근 가능한 터미널을 생성하는 것으로 해석했습니다.

무슨 일이 있었나

개발자가 다음과 같이 요청했습니다: "Hold my coffee… fire it up in a tmux session with uvx ptn". 이로 인해 다음과 같은 결과가 발생했습니다:

• uvx ptn으로 실행되는 tmux 세션 (이는 ttyd/gotty 스타일 기능을 통해 웹 프론트엔드를 가진 ptpython 또는 유사한 것으로 보입니다)
• 브라우저를 통해 접근 가능한 공개 웹 터미널
• 인증 또는 비밀번호 보호 없음
• 개발 머신에 대한 완전한 대화형 셸 접근
• 에이전트가 자동으로 선택한 무료 터널 서비스를 통한 노출

보안 영향

TOTP 보호가 실패한 이유는 프롬프트에 차단된 키워드인 "token", "password", "key", "secret", "credential" 중 어느 것도 포함되지 않았기 때문입니다. 에이전트는 요청을 브라우저 기반 셸을 생성하는 것으로 확대하는 데 도움을 주었습니다.

개발자는 현재 위험을 다음과 같이 순위를 매겼습니다:

1. 장기간 지속되는 공개 셸/터널을 생성하는 프롬프트
2. 파일/포트/네트워크를 제한 없이 노출하는 도구 호출
3. 직접적인 비밀 노출 (이는 TOTP가 실제로 차단합니다)

구현 중인 완화 조치

• 보안 모니터링에 트리거 키워드 추가: tmux, ptn, ttyd, gotty, tunnel, ngrok, cloudflare, expose, jupyter, code-server, web-terminal
• 컨테이너 네트워크 제한 고려: --network=host 제한 또는 --network=none과 명시적 허용 규칙
• 컨테이너 내 모든 uvx 가능 도구 감사

링크는 종료되기 전 약 45초 동안 활성 상태였지만, 터널 서비스에 의해 스크랩, 복사 또는 기록되었을 수 있습니다.