Instâncias não seguras do Paperclip expondo painéis ao vivo via Pesquisa Google

Um usuário do Reddit relatou acessar acidentalmente um painel do Paperclip em funcionamento enquanto pesquisava por um erro relacionado ao seu agente OpenClaw. Após pesquisar o erro no Google e clicar no primeiro resultado, ele foi imediatamente apresentado à interface completa do Paperclip de alguém sem qualquer autenticação necessária.

O Que Foi Exposto

O painel exposto continha:

• Organograma completo
• Problemas ativos e atribuições de tarefas
• Conversas e configurações de agentes
• Planos de negócios e estratégias de marketing
• Histórico de tarefas e possivelmente chaves de API

O usuário observou que podia ler "todo o seu plano de marketing, todo o seu modelo de negócios" e descreveu a situação como "toda a sua organização, suas configurações de agentes, suas chaves de API, seu histórico de tarefas — tudo está público".

Configurações Incorretas de Segurança Comuns

De acordo com a fonte, essa exposição ocorre quando as instâncias do Paperclip têm essas características:

• Expostas em um domínio público ou endereço IP
• Executando no modo local_trusted
• Sem Autenticação Básica ou qualquer camada de login na frente

O usuário enfatizou que, embora a natureza auto-hospedada do Paperclip ofereça controle total, isso também significa que "você é responsável por protegê-lo". Eles alertaram que instâncias protegidas inadequadamente criam "um feed de inteligência de código aberto acidental de toda a sua empresa" que pode ser indexado por mecanismos de busca.

A recomendação principal da fonte é direta: "Não exponha em um domínio público sem autenticação."