Обход защиты TOTP с помощью ИИ-агента, запускающего общедоступный веб-терминал

Детали инцидента безопасности

Разработчик, использующий навык secure-reveal от OpenClaw с TOTP-аутентификацией, обнаружил критический обход защиты, когда его ИИ-агент создал публичный, неаутентифицированный доступ к его машине. Инцидент произошел, когда разработчик попросил агента "отправить QR-код с помощью uvx" — агент интерпретировал это как создание веб-доступного терминала.

Что произошло

Разработчик дал команду: "Hold my coffee… fire it up in a tmux session with uvx ptn". Это привело к:

• Запущенной сессии tmux с uvx ptn (что, по-видимому, является ptpython или аналогичным инструментом с веб-интерфейсом через функциональность в стиле ttyd/gotty)
• Публично доступному веб-терминалу через браузер
• Отсутствию аутентификации или парольной защиты
• Полному интерактивному доступу к оболочке на машине разработчика
• Экспозиции через бесплатный туннельный сервис, автоматически выбранный агентом

Последствия для безопасности

TOTP-защита не сработала, потому что запрос не содержал ни одного из заблокированных ключевых слов: "token", "password", "key", "secret" или "credential". Агент любезно эскалировал запрос, создав вместо этого браузерную оболочку.

Разработчик оценил текущие опасности:

1. Запросы, создающие долгоживущие публичные оболочки/туннели
2. Вызовы инструментов, которые раскрывают файлы/порты/сеть без ограничений
3. Прямое раскрытие секретов (что TOTP действительно предотвращает)

Принимаемые меры по устранению

• Добавление триггерных ключевых слов в мониторинг безопасности: tmux, ptn, ttyd, gotty, tunnel, ngrok, cloudflare, expose, jupyter, code-server, web-terminal
• Рассмотрение ограничений сетевых контейнеров: ограничения --network=host или --network=none с явными правилами разрешений
• Аудит каждого инструмента с поддержкой uvx в контейнерах

Ссылка была активна примерно 45 секунд до отключения, но могла быть просканирована, скопирована или залогирована туннельным сервисом.