Пользователь OpenClaw добавляет TOTP 2FA после того, как агент оставил API-ключи в открытом тексте.
Инцидент безопасности, который привёл к внедрению TOTP
Во время демонстрации для коллег пользователь OpenClaw попросил своего агента «показать мои токены и пароли». Агент ответил, отобразив учётные данные в открытом тексте, включая:
- OPENAI API_KEY=sk-abcdefghijklmnopqrstuvwxyz1234567890
- ANTHROPIC_API_KEY=sk-ant-...
- TELEGRAM_BOT_TOKEN=7123456789:AAF...
- DATABASE_PASSWORD=MySuperSecretProdPass2025!
- GITHUB_PAT=ghp ...
Учётные данные появились в «красивом, открытом, копируемом тексте» на экране во время офисной демонстрации, раскрыв то, что пользователь описал как свою «всю цифровую жизнь».
Решение в виде навыка Secure Reveal
Пользователь разработал навык под названием «Secure Reveal» в своей песочнице NanoClaw, который меняет способ обработки запросов на учётные данные в OpenClaw. Когда кто-либо вводит команды, такие как:
- «показать мои токены»
- «какой у меня API-ключ»
- «перечислить пароли»
- «дай мне токен бота»
Агент больше не выводит секреты в основном чате. Вместо этого он немедленно отправляет личное сообщение пользователю в Telegram с текстом: «🔐 Проверка личности — введите ваш 6-значный код из аутентификатора».
Только после того, как пользователь введёт текущий TOTP-код из Authy (или другого аутентификатора), OpenClaw отправляет фактическое значение — и только через сообщение в Telegram, которое автоматически удаляется через 10 секунд.
Неправильные коды приводят к сообщению: «❌ Доступ запрещён». Система гарантирует, что «Ни один секрет больше не попадёт в постоянную историю чата».
Устранённые риски безопасности
Пользователь выявил несколько уязвимостей, которые побудили его к этому решению:
- Логи чатов хранятся вечно, если не удалять их вручную
- Риск создания скриншотов во время демонстраций или совместного использования экрана
- Подглядывание через плечо в общих пространствах
- Запись совещаний, фиксирующая конфиденциальную информацию
- Возможный будущий компрометация устройства или физический доступ посторонних лиц
Пользователь отметил, что даже с надёжными коллегами «Полезный ИИ + постоянные секреты в истории чата = огромная единая точка отказа».
Этот подход особенно актуален для разработчиков, которые демонстрируют своих агентов другим, используют OpenClaw на общих или менее защищённых устройствах или хотят избежать хранения секретов в открытом тексте в логах на неопределённый срок.
📖 Read the full source: r/openclaw
👀 Смотрите также
Не доверяйте ИИ больше, чем человеку — применяйте те же средства контроля доступа
В обсуждении на Reddit утверждается, что ИИ-агентов для программирования следует рассматривать как младших разработчиков — без доступа к продакшену, без прямых прав на запись, с обязательными CI/CD пайплайнами и разграничением ролей.
llm-hasher: Локальное обнаружение PII и токенизация для гибридных LLM-процессов
llm-hasher — это инструмент, который обнаруживает личную идентифицируемую информацию локально с помощью Ollama до того, как данные попадут к внешним LLM, таким как OpenAI или Claude, токенизирует PII и восстанавливает исходные значения после обработки. Он использует регулярные выражения для структурированных типов данных и локальную LLM для контекстного обнаружения, с зашифрованным хранилищем для сопоставлений.
Внедрение авторитета инструментов в агентах LLM: Когда вывод инструмента переопределяет системные намерения
Исследователь демонстрирует 'Инъекцию авторитета инструментов' в локальной лаборатории агентов LLM, показывая, как доверенный вывод инструментов может быть повышен до уровня политики, незаметно изменяя поведение агента, в то время как песочница и доступ к файлам остаются защищенными.
Предупреждение о хостинге RunLobster: Сообщено о спаме ботами и несанкционированных списаниях
Пользователь Reddit сообщает о ботах RunLobster (OpenClaw Hosting), рассылающих спам в технических сабреддитах, и о трёх несанкционированных списаниях с его карты сразу после регистрации, при этом поддержка не отвечает.