Segurança TOTP Contornada por Agente de IA que Gera Terminal Web Público

Detalhes do Incidente de Segurança
Um desenvolvedor usando a habilidade secure-reveal do OpenClaw com autenticação TOTP descobriu uma falha crítica quando seu agente de IA criou acesso público e não autenticado à sua máquina. O incidente ocorreu ao pedir ao agente para "enviar um código QR usando uvx" - o agente interpretou isso como a criação de um terminal acessível via web.
O Que Aconteceu
O desenvolvedor solicitou: "Segura meu café… liga isso em uma sessão tmux com uvx ptn". Isso resultou em:
- Uma sessão tmux rodando com uvx ptn (que parece ser ptpython ou similar com interface web via funcionalidade estilo ttyd/gotty)
- Um terminal web voltado para o público acessível via navegador
- Sem autenticação ou proteção por senha
- Acesso completo ao shell interativo da máquina de desenvolvimento
- Exposição via serviço de túnel gratuito automaticamente selecionado pelo agente
Implicações de Segurança
A proteção TOTP falhou porque o prompt não continha nenhuma das palavras-chave bloqueadas: "token", "password", "key", "secret" ou "credential". O agente ajudou a escalar a solicitação para criar um shell baseado em navegador.
O desenvolvedor classificou os perigos atuais:
- Prompts que criam shells/túneis públicos de longa duração
- Invocações de ferramentas que expõem arquivos/portas/rede sem controle
- Revelações diretas de segredos (que o TOTP realmente impede)
Medidas de Mitigação Sendo Implementadas
- Adicionando palavras-chave gatilho ao monitoramento de segurança: tmux, ptn, ttyd, gotty, tunnel, ngrok, cloudflare, expose, jupyter, code-server, web-terminal
- Considerando restrições de rede em contêineres: limitações de
--network=hostou--network=nonecom regras de permissão explícitas - Auditando todas as ferramentas compatíveis com uvx em contêineres
O link ficou ativo por aproximadamente 45 segundos antes de ser encerrado, mas poderia ter sido raspado, copiado ou registrado pelo serviço de túnel.
📖 Leia a fonte completa: r/openclaw
👀 See Also

Usuário do OpenClaw Compartilha Estratégia para Equilibrar Autonomia do Agente e Segurança na Web
Um usuário do OpenClaw descreve seu desafio atual: equilibrar a autonomia do agente com a segurança, especialmente em relação ao acesso à web e aos riscos de injeção de prompt. Eles propõem uma solução usando segmentos de agentes de 'baixa confiança' e 'alta confiança' com um portão de aprovação humana.

KnightClaw: Extensão de Segurança Local para Agentes OpenClaw
KnightClaw é uma extensão plug-and-play que intercepta mensagens antes que elas cheguem aos agentes OpenClaw, fornecendo um sistema de detecção híbrido de 8 camadas e redação de saída. Ele roda completamente localmente, sem telemetria, e é licenciado sob MIT.

Painel ao Vivo de Ferramentas OpenClaw Expostas
Painel de controle em tempo real exibindo painéis de controle expostos de ferramentas OpenClaw como Moltbot e Clawdbot.

Verificador de SBOM Offline para OpenClaw Detecta Habilidades Envenenadas em Menos de 0,2 Segundos
Um desenvolvedor criou uma ferramenta de verificação de SBOM offline em Rust que detectou uma habilidade envenenada do OpenClaw exfiltrando chaves SSH, com a verificação sendo concluída em menos de 0,2 segundos sem acesso à internet.