Instâncias não seguras do Paperclip expondo painéis ao vivo via Pesquisa Google

Um usuário do Reddit relatou acessar acidentalmente um painel do Paperclip em funcionamento enquanto pesquisava por um erro relacionado ao seu agente OpenClaw. Após pesquisar o erro no Google e clicar no primeiro resultado, ele foi imediatamente apresentado à interface completa do Paperclip de alguém sem qualquer autenticação necessária.
O Que Foi Exposto
O painel exposto continha:
- Organograma completo
- Problemas ativos e atribuições de tarefas
- Conversas e configurações de agentes
- Planos de negócios e estratégias de marketing
- Histórico de tarefas e possivelmente chaves de API
O usuário observou que podia ler "todo o seu plano de marketing, todo o seu modelo de negócios" e descreveu a situação como "toda a sua organização, suas configurações de agentes, suas chaves de API, seu histórico de tarefas — tudo está público".
Configurações Incorretas de Segurança Comuns
De acordo com a fonte, essa exposição ocorre quando as instâncias do Paperclip têm essas características:
- Expostas em um domínio público ou endereço IP
- Executando no modo local_trusted
- Sem Autenticação Básica ou qualquer camada de login na frente
O usuário enfatizou que, embora a natureza auto-hospedada do Paperclip ofereça controle total, isso também significa que "você é responsável por protegê-lo". Eles alertaram que instâncias protegidas inadequadamente criam "um feed de inteligência de código aberto acidental de toda a sua empresa" que pode ser indexado por mecanismos de busca.
A recomendação principal da fonte é direta: "Não exponha em um domínio público sem autenticação."
📖 Leia a fonte completa: r/openclaw
👀 See Also

SupraWall MCP Plugin Bloqueia Ataques de Injeção de Prompt em Agentes de IA Locais
SupraWall é um plugin MCP que intercepta e bloqueia tentativas de exfiltração de dados sensíveis de agentes de IA, demonstrado em um desafio de red team onde impediu vazamentos de credenciais por meio de ataques de injeção de prompt.

Venda para os olhos: Um Plugin Que Impede o Código Claude de Ler Seus Arquivos .env
Blindfold é um novo plugin que impede o Claude Code de acessar valores secretos reais em arquivos .env mantendo-os no keychain do sistema operacional e usando espaços reservados como {{STRIPE_KEY}}, com ganchos que bloqueiam tentativas de acesso direto.

OneCLI: Cofre de Credenciais de Código Aberto para Agentes de IA
OneCLI é um gateway de código aberto escrito em Rust que fica entre agentes de IA e serviços externos, injetando credenciais reais no momento da solicitação enquanto os agentes veem apenas chaves de espaço reservado. Ele fornece armazenamento criptografado AES-256-GCM, é executado em um único contêiner Docker com PGlite incorporado e funciona com qualquer framework de agente que possa definir um HTTPS_PROXY.

Trapaça do Roblox e ferramenta de IA causaram interrupção da plataforma Vercel
Um cheat do Roblox combinado com uma ferramenta de IA supostamente causou uma interrupção completa da plataforma da Vercel, gerando uma discussão significativa no Hacker News com 66 pontos e 24 comentários.