Незащищенные экземпляры Paperclip, раскрывающие активные панели управления через поиск Google

Пользователь Reddit сообщил о случайном доступе к работающей панели управления Paperclip во время поиска ошибки, связанной с его агентом OpenClaw. После поиска ошибки в Google и нажатия на первый результат ему сразу же была представлена чья-то полная интерфейсная панель Paperclip без какой-либо необходимости в аутентификации.

Что было раскрыто

Раскрытая панель управления содержала:

• Полную организационную схему
• Активные проблемы и назначения задач
• Разговоры и конфигурации агентов
• Бизнес-планы и маркетинговые стратегии
• Историю задач и, возможно, API-ключи

Пользователь отметил, что мог прочитать «весь его маркетинговый план, всю его бизнес-модель» и описал ситуацию как «ваша вся организация, конфигурации ваших агентов, ваши API-ключи, история ваших задач — всё это публично».

Распространённые ошибки конфигурации безопасности

Согласно источнику, такое раскрытие происходит, когда экземпляры Paperclip имеют следующие характеристики:

• Доступны на публичном домене или IP-адресе
• Работают в режиме local_trusted
• Без базовой аутентификации или любого слоя входа перед ними

Пользователь подчеркнул, что хотя самостоятельное размещение Paperclip обеспечивает полный контроль, это также означает, что «вы отвечаете за его защиту». Он предупредил, что неправильно защищённые экземпляры создают «случайный канал открытой разведки всей вашей компании», который может индексироваться поисковыми системами.

Основная рекомендация от источника проста: «Не размещайте его на публичном домене без аутентификации».