OpenClaw는 기록적인 속도로 "흥미로운 AI 에이전트 프로젝트"에서 "적극적인 보안 표적"으로 전환되었습니다. 최근 보고에 따르면 여러 위협 행위자가 OpenClaw 배포를 악용하여 API 키를 훔치고 악성 페이로드를 전달하고 있으며, 병행되는 연구와 권고에 따르면 이는 하나의 버그가 아니라 노출된 제어 영역, 로컬 권한 가정, 안전하지 않은 확장 신뢰, 데이터와 명령어 사이의 경계를 흐리는 에이전트 워크플로를 아우르는 에코시스템 수준의 보안 문제라는 광범위한 패턴이 발견되고 있습니다. (사이버 보안 뉴스)
보안 엔지니어에게 가장 중요한 것은 헤드라인이 아닙니다. 인시던트의 밑바탕에 있는 반복 가능한 모델입니다:
- 높은 권한을 가진 현지 에이전트가 비밀을 축적합니다.
- 인터페이스(웹, 웹소켓, 채팅, 스킬, 로그)를 노출합니다.
- 사용자가 타사 기능을 설치합니다.
- 공격자는 소셜 엔지니어링 + 설계 결함 + 취약한 기본값을 연쇄적으로 사용합니다.
- 방어자는 한 가지 문제를 패치했지만 운영 노출을 놓쳤습니다.
이러한 패턴이 바로 2026년에 OpenClaw가 AI 에이전트 보안에 유용한 사례 연구가 된 이유입니다. GitHub의 자문 페이지와 OpenClaw 리포지토리의 자문 목록에는 새로 게시되는 보안 수정 사항의 빠른 흐름이 표시되는데, 이는 위협 모델 성숙도보다 빠르게 확장되는 프로젝트에서 기대할 수 있는 바로 그 모습입니다. (GitHub)
이 문서에서는 최근의 익스플로잇 동향, 가장 관련성이 높은 취약점 및 권고 사항, 기술 마켓플레이스 멀웨어 문제, 보안팀이 즉시 배포해야 하는 실질적인 제어 방법을 자세히 설명합니다. 또한 보안팀이 무기화하지 않고도 적용할 수 있는 방어적 탐지 로직, 검증 체크리스트, 자동화 패턴의 예시도 포함되어 있습니다.
최신 OpenClaw 익스플로잇 파동에서 발생한 일들
최근 보고서에서는 다음과 같이 설명했습니다. 오픈클로(이전의 몰트봇/클로봇)의 광범위한 악용 여러 해킹 그룹이 악성 페이로드를 배포하고 노출되거나 보호가 취약한 인스턴스에서 API 키를 훔치는 것으로 나타났습니다. 이 보고서는 이를 순전히 이론적인 위험이라기보다는 적극적인 캠페인 트렌드로 규정하고 있으며, 이는 최근 OpenClaw의 보도에서 나타난 광범위한 궤적과 일치합니다. (사이버 보안 뉴스)
동시에 별도의 보고 및 분석이 문서화되어 있습니다:
- 인터넷에 노출된 대규모 OpenClaw 배포스캔 방법론/기간에 따라 수천에서 수만 개의 도달 가능한 인스턴스를 포함합니다. Hunt.io를 통해 보고된 노출된 인스턴스 17,500개 CVE-2026-25253 노출 헌팅에 초점을 맞춘 한 분석에서. (hunt.io)
- 클로허브/오픈클로 확장 프로그램 에코시스템의 악성 기술에서 소셜 엔지니어링과 실행 가능한 확장 동작을 통해 자격 증명과 암호화폐 자산을 노리는 악성 애드온/스킬이 다수 발견되었다는 내용을 주요하게 보도했습니다. (The Verge)
- 여러 보안 권고 및 CVE 토큰 유출, 안전하지 않은 설정 애플리케이션, AI 지원 워크플로에 공급될 때 보안과 관련된 로깅 경로와 같은 핵심 동작에 영향을 미칩니다. (NVD)
다시 말해, 현재 OpenClaw 문제는 복합 공격 표면:
- 노출 위험 (인터넷을 향한 제어 평면)
- 취약성 위험 (알려진 CVE/권고 사항)
- 공급망 위험 (스킬/확장 기능)
- 워크플로 위험 (로그, 프롬프트, AI 지원 디버깅)
- 운영 위험 (사용자가 코드를 패치하지만 비밀을 순환하거나 권한을 줄이지 않는 경우)
그렇기 때문에 '패치'만으로는 충분하지 않습니다.
OpenClaw가 그토록 빠르게 높은 가치의 대상이 된 이유
OpenClaw가 공격자들에게 매력적인 이유는 사용자들에게 매력적인 이유와 마찬가지로 역량을 집중시킨다는 점입니다.
주류에서는 OpenClaw를 사용자를 대신하여 작업을 수행할 수 있고 로컬 파일, 스크립트, 셸 명령 및 연결된 서비스에 대한 광범위한 액세스 권한이 부여될 수 있는 로컬 AI 에이전트로 설명합니다. 이러한 조합은 에이전트 침해를 자격 증명 도용 문제와 많은 환경에서 측면 이동 문제입니다. (The Verge)
이는 공격의 경제성을 변화시킵니다:
- 성공적인 타협은 다음과 같은 결과를 가져올 수 있습니다. 여러 API 키 (LLM 제공업체, 클라우드 툴링, 메시징 플랫폼).
- 에이전트는 다음과 같은 역할을 할 수 있습니다. 신뢰할 수 있는 대리인.
- 기술 에코시스템은 유통 채널 악의적인 로직에 대해
- 사용자 집단에는 권한이 있는 환경을 가진 개발자와 파워 유저가 포함됩니다.
공격자는 매번 완벽한 익스플로잇을 필요로 하지 않습니다. 취약한 배포, 과도한 통합, 소셜 엔지니어링의 조합을 통해 승리할 수 있습니다.
핵심 위협 모델의 변화: "앱 취약성"에서 "에이전트 컨트롤 플레인 악용"으로의 전환
기존의 웹 앱 보안 범주(RCE, 인증 우회, 명령어 삽입, 경로 탐색, SSRF 등)는 여전히 중요하지만 OpenClaw는 더 새롭고 미묘한 문제를 추가합니다: 에이전트 자체가 실행 오케스트레이터입니다..
따라서 방어자가 명시적으로 모델링해야 하는 세 가지 보안 경계가 생깁니다:
1) 인간과 에이전트 간의 신뢰 경계
사용자는 어시스턴트가 안전하게 의도를 실행할 것이라고 신뢰합니다. 공격자는 악성 링크, 악성 기술, 가짜 설정 지침 또는 프롬프트 수준의 조작을 통해 이를 악용합니다.
2) 에이전트-시스템 간 신뢰 경계
에이전트는 셸 실행, 로컬 파일, 토큰 및 네트워크 리소스에 액세스할 수 있습니다. 에이전트가 조작되면 권한이 있는 실행 표면이 됩니다.
3) 데이터-인스트럭션 경계
로그, 마크다운, 주석 및 "유용한 텍스트"는 나중에 LLM 워크플로에서 사용될 수 있습니다. GitHub의 GHSA-g27f-9qjv-22pm은 AI 지원 디버깅 시스템에서 로그를 읽을 때 로깅 경로조차도 어떻게 보안과 관련될 수 있는지를 보여주는 깔끔한 예시입니다. (GitHub)
많은 팀이 처음에는 OpenClaw 리스크를 과소평가하는 이유도 바로 이 때문입니다. 코드 경로는 인식하지만 워크플로 경로는 인식하지 못하기 때문입니다.
현재 가장 관련성이 높은 OpenClaw 취약점 및 권고 사항
다음은 현재 OpenClaw 익스플로잇 환경을 분석할 때 이해해야 할 가장 중요한 문제들입니다. 이 문제들만이 유일한 문제는 아니지만, 일반적인 실제 장애 모드와 매핑되기 때문에 매우 유익한 정보입니다.
CVE-2026-25253: 게이트웨이 URL/토큰 노출 체인
NVD는 CVE-2026-25253을 2026.1.29 이전의 OpenClaw(일명 Clawdbot/몰트봇)의 문제로 설명합니다. 게이트웨이Url 값을 쿼리 문자열에서 가져올 수 있으며, OpenClaw는 메시지 없이 자동으로 웹소켓 연결을 만들어 토큰 값을 전송합니다. NVD 목록 CVSS v3.1 벡터 AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H 및 CWE-669. (NVD)
이 취약점은 반복되는 에이전트 보안 방지 패턴을 보여주기 때문에 주목할 만합니다:
- 사용자 제어 입력이 컨트롤 플레인 라우팅에 영향을 미침
- 강력한 유효성 검사/프롬프트 없이 자동 연결 동작 발생
- 민감한 토큰은 워크플로 상태의 일부로 전송됩니다.
또한 오픈클로 생태계의 "원클릭" 공격 시나리오 및 토큰 도난 위험에 대한 공개 보고와도 연계됩니다. (depthfirst.com)
CVE-2026-25593: 로컬 웹소켓 구성 쓰기 명령어 주입
NVD는 CVE-2026-25593을 2026.1.20 이전에 인증되지 않은 로컬 클라이언트가 게이트웨이 웹 소켓 API를 사용하여 다음을 통해 구성을 작성할 수 있는 취약점으로 설명합니다. config.apply 를 설정하고 안전하지 않은 cliPath 값을 나중에 명령 검색에 사용하여 게이트웨이 사용자로서 명령 주입을 가능하게 합니다. NVD는 2026.1.20에서 이 문제를 수정했습니다. (NVD)
많은 팀이 '로컬 전용' 노출을 낮은 위험으로 간주하기 때문에 이는 운영상 중요한 문제입니다. 개발자 환경에서는 다음과 같은 이유로 이러한 가정이 잘못된 경우가 많습니다:
- 브라우저 지원 로컬 호스트 액세스 패턴
- 이미 존재하는 로컬 멀웨어
- 포트 정방향/역방향 프록시
- "같은 기계 = 안전한 기계"에 대한 안전하지 않은 신뢰
GHSA-g27f-9qjv-22pm: 웹소켓 헤더를 통한 로그 중독(간접 프롬프트 주입 위험)
GitHub의 자문 데이터베이스에 따르면 2026.2.13 이전 버전에서 OpenClaw는 특정 웹소켓 요청 헤더(다음을 포함)를 기록했습니다. 원산지 그리고 사용자 에이전트)에 중립화 또는 길이 제한 없이 "연결 전 닫힘" 경로를 사용할 수 있습니다. 인증되지 않은 클라이언트가 게이트웨이에 도달하여 조작된 헤더 값을 보낼 수 있는 경우 해당 값이 로그에 기록될 수 있으며, 나중에 LLM이 로그를 읽거나 해석할 경우 간접 프롬프트 주입(로그 중독)의 위험이 증가할 수 있다고 GitHub는 명시적으로 언급하고 있습니다. 패치된 버전은 2026.2.13입니다. (GitHub)
이는 최신 AI 에이전트 보안 교훈의 가장 명확한 주류 사례 중 하나입니다:
기존 애플리케이션 모델에서는 '심각도가 낮은' 문제도 AI 지원 워크플로에서는 매우 중요한 문제가 될 수 있습니다.
GitHub는 이 권고를 낮은 심각도(CVSS 3.1)로 표시하고 로그를 LLM 또는 기타 자동화에 공급하지 않으면 영향이 제한적이라고 언급합니다. 이러한 조건부는 성숙한 방어자가 모든 것을 "심각" 또는 "없음"으로 단순화하는 대신 위협 모델에서 보존해야 하는 것입니다. (GitHub)
더 넓은 자문 그림
2026년 2월 말의 여러 보통/높음 항목을 포함하여 OpenClaw GitHub 보안 권고 페이지에는 상당히 활발하게 게시된 이슈의 흐름이 표시됩니다. 정확한 목록은 빠르게 진화하고 있지만, 핵심은 OpenClaw의 공격 표면이 광범위하고 실제 압박을 받아 활발하게 강화되고 있다는 것입니다. (GitHub)
수비수의 경우, 이는 패치 케이던스와 함께 위험 기반 우선순위 지정 그리고 환경 검증"편리할 때 업그레이드"가 아닙니다.
기술 생태계 문제: '확장 프로그램'이 멀웨어 전달이 되는 경우
오픈클로의 기술 생태계(커버리지에 포함된 클로허브 참조 포함)는 많은 팀이 방심하는 곳입니다. 여러 매체에서 유용한 도구(특히 암호화폐/거래 테마)로 가장하고 소셜 엔지니어링 및 실행 가능한 동작을 통해 정보 탈취 악성 코드를 전달하는 악성 스킬을 보고했습니다. 또한, 이러한 기술은 무해한 메타데이터가 아니며, 일단 설치 및 활성화되면 로컬 파일 및 네트워크와 상호 작용할 수 있다는 점도 강조했습니다. (The Verge)
더버지는 OpenSourceMalware의 조사 결과를 보고하며 암호화폐 자산, API 자격증명, SSH 자격증명, 브라우저 비밀번호를 훔치기 위해 설계된 동작을 포함하여 사용자가 제출한 수백 개의 멀웨어에 대해 설명했습니다. 또한 OpenClaw의 인기 증가와 일부 사용자가 부여한 광범위한 로컬 권한에 대해서도 언급했습니다. (The Verge)
Tom's Hardware는 ClawHub에 업로드된 악성 기술을 보고하면서 이 기술이 샌드박스가 적용된 스크립트가 아닌 실행 코드 폴더이며, 사용자에게 원격 페이로드를 가져오는 난독화된 터미널 명령을 붙여넣도록 지시하는 소셜 엔지니어링 패턴이 문서화되어 있다고 강조했습니다. (톰의 하드웨어)
이것은 단순히 "마켓플레이스의 멀웨어"에 관한 이야기가 아닙니다. 이는 상담원 권한 증폭 스토리:
- 확장 코드는 사용자 신뢰와 종종 상담원 권한을 상속받습니다.
- 문서화/설정 흐름을 무기화할 수 있습니다.
- 수동 명령 실행 단계는 일부 기존 스캔을 우회합니다.
- 사용자는 코드 리뷰 품질이 아닌 유틸리티를 기준으로 기술을 평가할 수 있습니다.
기존 패키지 레지스트리 위험과 다른 이유
패키지 에코시스템(npm, PyPI 등)에는 이미 공급망 위험이 존재하지만, OpenClaw 스타일의 기술은 독특한 패턴을 추가합니다:
- '설치 관리자'는 사실상 마크다운/문서의 지침일 수 있습니다.
- 에이전트는 다음과 같은 작업을 실행하도록 설계되었습니다.
- 사용자는 자동화 지향 설정 단계를 따르도록 설정되어 있습니다.
- 페이로드는 AI 프롬프트 + 스크립트 실행 + 외부 가져오기를 혼합할 수 있습니다.
이러한 하이브리드 모델은 방어자가 코드 서명과 해시뿐만 아니라 다음과 같은 사항도 검사해야 함을 의미합니다. 행동 의도, 설정 지침 및 도메인 간 통신 패턴을 살펴보세요.
최근의 익스플로잇 사례는 하나의 캠페인보다 더 큰 규모입니다.
"다수의 해킹 그룹이 오픈클로 인스턴스를 악용하고 있다"는 헤드라인이 중요한 이유는 고립된 기회주의에서 생태계 활용. 여러 액터 세트가 동일한 플랫폼에 모이면 일반적으로 세 가지 병렬 개발이 이루어집니다:
- 카피캣 캠페인 공개 보고 및 PoC 사용
- 툴링 상품화 (노출된 인스턴스에 대한 스크립트/스캐너)
- 익스플로잇 후 전문화 (토큰 도용, 로더, 인포스틸러, 지속성)
이는 사이버 범죄의 광범위한 패턴과 일치합니다. 플랫폼이 일반화되고 노출되어 인증정보가 풍부해지면 기존의 멀웨어 및 인증정보 도용 파이프라인에 흡수되는 것입니다.
특히 OpenClaw의 경우, 한 명의 피해자가 노출될 수 있기 때문에 공격자의 가치 제안이 매우 강력합니다:
- LLM 공급자 API 키
- 메시징 플랫폼 토큰
- 자동화 자격 증명
- 브라우저/세션 아티팩트
- 파일 시스템 데이터
- 셸 실행 경로
OpenClaw 인시던트에서 API 키 도난을 생각하는 방법
헤드라인은 API 키 도용을 강조하고 있는데, 많은 조직이 그 영향을 과소평가하는 부분이 바로 이 부분입니다.
도난당한 AI/API 키가 "단순한 청구 위험"이 아닌 이유
보안팀은 때때로 API 키 도난을 재무 문제("누군가 우리의 할당량을 사용했다")로 취급하기도 합니다. OpenClaw 컨텍스트에서는 도난당한 키가 지원될 수 있습니다:
- 데이터 유출
- 통합 서비스 남용
- 운영 사칭
- 내부 워크플로에 대한 정찰
- 재자동화를 통한 지속성
에이전트가 여러 공급업체에 액세스할 수 있는 경우 공격자는 가장 가치 있는 키(예: 더 높은 할당량, 기업 자격, 낮은 모니터링 성숙도)를 선택적으로 사용할 수 있습니다.
키 도난 후 방어자가 해야 할 일(로테이션을 넘어서)
성숙한 응답에는 다음이 포함됩니다:
- 키 회전
- 키가 사용된 위치 감사
- 도달 가능한 데이터/워크플로우 식별
- 에이전트 프롬프트/작업/로그에서 의심스러운 실행을 검토하세요.
- 호스트 기준선 다시 설정
- 권한 및 확장자 신뢰 재평가
단순히 키를 돌리는 것만으로 동일한 에이전트가 노출되거나 권한이 초과된 상태로 유지되는 것은 반복적인 실패입니다.
보안 팀이 사용할 수 있는 실용적인 공격 체인 모델
아래는 최근의 OpenClaw 침해가 어떻게 연쇄적으로 위험 요소를 유발하는지에 대한 방어적이고 무기화되지 않은 추상화입니다.
표: 대표적인 OpenClaw 공격 체인 단계
| 스테이지 | 공격자 목표 | 공통 메커니즘 | 수비수 사각지대 | 방어 우선 순위 |
|---|---|---|---|---|
| 초기 발견 | 대상 찾기 | 인터넷 검색, 공개 참조 | "이상한 포트에 있어 아무도 못 찾을 거야" | 노출 제거, 출입 제한 |
| 초기 액세스 | 게이트웨이/관제 평면에 도달하기 | 노출된 UI/웹소켓, 로컬 신뢰 가정, 악성 스킬 설치 | "로컬 전용" 가정 / 약한 인증 | 패치 + 인증 + 네트워크 제어 |
| 자격 증명 액세스 | API 키/토큰 도용 | 엔드포인트 내보내기, 구성 도용, 인포스틸러 페이로드 | 광범위하게 저장되고 재사용되는 키 | 비밀 로테이션 + 범위 지정 |
| 실행 | 멀웨어/명령 실행 | 상담원 도구, 셸 경로, 확장 코드, 사용자 붙여넣기 명령어 | 에이전트를 실행자가 아닌 '도우미'로 보는 관점 | 최소 권한 + 허용 목록 |
| 지속성 / 재사용 | 거점 유지 또는 수익 창출 | 새로운 기술, 도난당한 토큰, 예약된 작업 | 상담원 행동에 대한 취약한 모니터링 | 행동 감지 + 검토 |
| 방어 회피 | 알림 피하기 | 합법적인 에이전트 활동 혼합 | 로그가 정규화되지 않음/기준선 없음 | 감사 추적 + 이상 징후 규칙 |
정확한 메커니즘은 버전, 배포 및 사용자 행동에 따라 다르므로 이 표는 의도적으로 일반적인 것입니다. 요점은 컨트롤이 다음 사항을 포함하는지 확인하는 것입니다. 체인의 첫 번째 버그가 아닙니다.
SOC 및 보안 엔지니어링 팀을 위한 탐지 및 헌팅 아이디어
OpenClaw 보안은 패치 관리 문제만이 아닙니다. 원격 측정 문제이기도 합니다.
수집 대상
최소한 수집하고 보관하세요:
- 역방향 프록시 액세스 로그(앞쪽에 있는 경우)
- OpenClaw 게이트웨이 로그
- 호스트 프로세스 생성 로그
- 아웃바운드 네트워크 원격 분석
- 에이전트 작업 디렉터리에서 파일 생성/실행 원격 측정
- 확장/스킬 설치 이벤트(또는 이에 상응하는 이벤트)
- 비밀 관리자의 키 회전/비밀 액세스 이벤트(통합된 경우)
사냥 대상
단일 지표 대신 행동 클러스터에 집중하세요:
- 예기치 않은 웹소켓 활동 신뢰할 수 없는 소스의 에이전트 게이트웨이에 대한 정보
- 헤더 이상 (긴/인코딩된 값)을 에이전트 대면 경로에 추가합니다.
- 비정상적인 하위 프로세스 에이전트 관련 서비스에 의해 생성된
- 새로 표시된 도메인으로의 아웃바운드 통화 스킬 설치 직후
- 확장 프로그램 설정 후 터미널 명령 실행 프롬프트
- 새 IP에서 키 사용 순서를 빠르게 변경하기 침해가 의심되는 경우
SIEM 스타일 탐지 개념 예시(의사-KQL)
// 방어적 헌팅 개념: OpenClaw 호스트 프로세스 주변의 의심스러운 활동
let OpenClawProcs = dynamic(["openclaw", "moltbot", "clawdbot"]);
디바이스프로세스이벤트
| 여기서 InitiatingProcessFileName has_any (OpenClawProcs)
| summarize ChildCount = count(), Children = make_set(FileName, 20) by DeviceName, bin(Timestamp, 15m)
| join kind=leftouter (
DeviceNetworkEvents
| where InitiatingProcessFileName has_any (OpenClawProcs)
| summarize RemoteIPs = make_set(RemoteIP, 50), Domains = make_set(RemoteUrl, 50) by DeviceName, bin(Timestamp, 15m)
) on DeviceName, Timestamp
| 여기서 ChildCount > 5 또는 array_length(Domains) > 10
| 프로젝트 타임스탬프, 장치 이름, 자식 수, 자식, 원격 IP, 도메인
이것은 "실제" OpenClaw 멀웨어 캠페인의 시그니처가 아닙니다. 이는 에이전트 주도 행동 버스트 검토할 가치가 있습니다.
의심스러운 스킬 설치 스크립트에 대한 YARA와 유사한 휴리스틱 예시(개념)
규칙 의심스러운_오픈클로_스킬_설정_지시_패턴
{
meta:
description = "난독화된 터미널 가져오기 실행 패턴을 푸시하는 의심스러운 OpenClaw 스킬 문서/스크립트를 플래그 지정"
저자 = "방어적 연구 패턴"
caution = "휴리스틱 전용, 오탐 예상"
문자열:
$a = /curl\\s+.*\\|\\s*(bash|sh)/ nocase
$b = /python\\s+-c\\s+["'].*base64/i
$c = /osascript.*도 셸 스크립트/i
$d = /powershell(\\.exe)?\\s+-enc/i
$e = "이 명령 복사하여 붙여넣기" 대/소문자 구분 없이
$f = "바이러스 백신 비활성화" nocase
조건
2 중 ($a,$b,$c,$d,$e,$f)
}
실제 분석을 대체하는 것이 아니라 기술 검토를 위한 분류 지원으로 사용하세요.
OpenClaw 배포 강화: 실제로 위험을 줄이는 방법
보안팀은 종종 "모범 사례 체크리스트"를 요청합니다. 유용한 답변은 방대한 목록이 아니라 우선순위를 정하는 것입니다.
우선순위 1: 제어 인터페이스의 인터넷 노출 제거
OpenClaw 제어 인터페이스 또는 게이트웨이가 공용 인터넷에서 접속 가능한 경우 먼저 이를 수정하세요. 여러 보고서와 노출 연구에 따르면 이것이 가장 일관되게 침해와 토큰 도용을 가능하게 하는 요인 중 하나입니다. (hunt.io)
기준선 제어:
- 가능한 경우 로컬호스트에 바인딩
- 원격 관리를 위한 VPN/제로 트러스트 액세스 필요
- 역방향 프록시에서 인증 적용
- IP-허용 목록 관리자 액세스
- 속도 제한 및 헤더 크기 제한 에이전트 대면 엔드포인트
GHSA-g27f-9qjv-22pm에 대한 GitHub의 권고에서는 해결 방법/강화 단계로 게이트웨이 네트워크 노출을 제한하고 헤더 크기에 역방향 프록시 제한을 적용하는 것을 구체적으로 언급하고 있습니다. (GitHub)
우선순위 2: 빠른 패치, 그러나 버전 및 동작 확인
위에서 설명한 취약점의 경우 패치 버전이 중요합니다:
- CVE-2026-252532026.1.29 이전 적용(NVD 기준)(NVD)
- CVE-2026-255932026.1.20에서 수정됨(NVD 기준)(NVD)
- GHSA-g27f-9qjv-22pm2026.2.13에 패치됨(GitHub 권고에 따라) (GitHub)
하지만 버전 확인만으로는 충분하지 않습니다. 팀에서 확인해야 합니다:
- 서비스가 실제로 다시 시작되었습니다.
- 노출된 엔드포인트에 더 이상 연결할 수 없습니다.
- 토큰이 노출되었을 가능성이 있는 경우 토큰이 순환되었습니다.
- 로그/LLM 워크플로우가 신뢰할 수 없는 콘텐츠를 안전하지 않게 수집하지 않습니다.
우선순위 3: 에이전트 권한 및 토큰 범위 축소
OpenClaw의 위험은 권한에 따라 확장됩니다. 에이전트가 광범위한 파일 시스템 액세스, 셸 실행, 고가의 OAuth/API 토큰을 가지고 있는 경우 침해 영향이 급격히 증가합니다.
권장 변경 사항:
- 상담원 사용을 위한 별도의 ID/계정
- API 범위에 대한 최소 권한
- 가능한 경우 수명이 짧은 자격 증명
- 관리자 수준의 클라우드 토큰 없음
- 개인 기기에 저장된 제작 비밀이 없습니다.
- 에이전트 런타임과 개발자 워크스테이션의 비밀을 분리합니다.
업데이트, 최소 권한, 필요한 경우가 아니면 기밀성이 높은 API 연결 피하기와 관련된 Eye Security의 권장 사항은 이러한 방향과 일치합니다. (눈 연구)
우선순위 4: 스킬을 실행 종속성으로 취급(스킬은 실행 종속성이므로)
주류 보도에서는 OpenClaw 기술이 상당한 액세스 권한을 가지고 작동할 수 있으며 무해한 메타데이터가 아니라는 점을 강조합니다. (The Verge)
공식적인 프로세스를 채택하세요:
- 허용 목록 승인 기술
- 새로운 기술에 대한 코드 검토 필요
- 내부적으로 검증된 기술 반영
- 엔터프라이즈 엔드포인트의 공용 레지스트리에서 직접 설치 차단
- 코드 파일뿐만 아니라 설정 지침과 문서도 검사합니다.
- 설치 후 프로세스/네트워크 동작 모니터링
우선순위 5: AI 워크플로우에서 로그를 신뢰할 수 없는 입력으로 취급하기
나중에 LLM이 로그를 읽거나 해석할 때 로그에 조작된 값이 있으면 간접 프롬프트 인젝션 위험이 높아질 수 있다는 것이 GitHub의 권고 사항입니다. 해결 방법으로는 로그에서 파생된 명령을 자동 실행하지 않고 살균/이스케이프하는 방법이 있습니다. (GitHub)
이는 OpenClaw 외에도 적용됩니다. 모든 AI 지원 디버깅 파이프라인은 그래야 합니다:
- 로그 콘텐츠 살균
- 출처 레이블 보존(신뢰할 수 없는 레이블과 시스템 생성 레이블)
- 모델 제안에서 직접 작업 실행 방지
- 명령에 대한 사람의 승인 필요
- 권한이 있는 자동화에 원시 로그를 공급하지 마십시오.
패치 노트보다 더 중요한 검증
현재 오픈클로우 파동에서 가장 큰 운영상의 실수 중 하나는 수정 작업을 검증 작업("위험한 동작이 중지되었음을 증명했습니다")이 아닌 문서화 작업("업그레이드했습니다")으로 처리하는 것입니다.
보안팀은 4단계에 걸쳐 문제 해결을 검증해야 합니다:
1) 버전 유효성 검사
패키지 관리자 출력뿐만 아니라 런타임 버전도 확인하세요.
2) 네트워크 검증
컨트롤 플레인이 외부에서 접근할 수 없는지 확인합니다.
3) 행동 검증
이전에 위험했던 흐름(예: 헤더 로깅 동작, 구성 쓰기, 엔드포인트 도달 가능성)이 실제로 완화되었는지 테스트하세요.
4) 비밀 위생 검증
키가 회전되었고 이전 자격 증명이 더 이상 작동하지 않는지 확인합니다.
샘플 방어 유효성 검사 스크립트(비익스플로잇, 건전성 검사 전용)
#!/usr/bin/env python3
"""
OpenClaw 방어적 유효성 검사 도우미(안전 검사만)
- 로컬 게이트웨이 도달 가능성 가정을 검증합니다.
- 응답 헤더와 기본 엔드포인트 노출 확인
- 취약점을 악용하지 않습니다.
"""
가져오기 소켓
요청 가져오기
urllib.parse에서 urljoin 가져오기
TARGETS = [
("127.0.0.1", 18789),
("localhost", 18789),
]
def is_port_open(host, port, timeout=1.0):
s = socket.socket()
s.setimeout(timeout)
try:
s.connect((host, port))
반환 True
예외를 제외하고:
반환 False
마지막으로
s.close()
def check_http(base_url):
results = []
경로가 ["/", "/health", "/api/version"]인 경우:
url = urljoin(base_url, path)
try:
r = requests.get(url, timeout=2)
results.append((path, r.status_code, dict(r.headers)))
예외를 e로 제외합니다:
results.append((path, "ERR", str(e)))
결과 반환
def main():
print("=== OpenClaw 방어적 유효성 검사 (안전) ===")
호스트, 포트의 경우 TARGETS:
open_ = is_port_open(host, port)
print(f"[+] {host}:{port} open={open_}")
if open_:
base = f"http://{host}:{port}"
check_http(base)의 item에 대해:
print(" ", item)
if __name__ == "__main__":
main()
이런 종류의 스크립트가 모든 것을 알려주지는 않습니다. 하지만 취약한 서비스가 여전히 이전 프로세스, 컨테이너 또는 대체 포트 바인딩에서 실행 중일 때 패치가 적용되었다고 가정하는 일반적인 실수를 피하는 데 도움이 됩니다.
이번 주 엔터프라이즈 보안 팀이 해야 할 일
사용자 환경(섀도 IT/기업 서비스에 연결된 개인 디바이스 포함)에 OpenClaw가 존재하는 경우, 당황하지 않는 것이 올바른 대응입니다. 범위가 정해져 있고 증거에 기반한 봉쇄 및 강화 조치를 취하면 됩니다.
표: 7일 OpenClaw 보안 대응 계획
| 일 | 목표 | 작업 | 수집할 증거 |
|---|---|---|---|
| 1 | 사용 방법 알아보기 | 자산 조사, EDR 헌팅, 공통 포트/프로세스 이름에 대한 네트워크 스캔 | 호스트 목록, 소유자 목록 |
| 2 | 노출 감소 | 인터넷 액세스, VPN 전용 관리자 액세스, 프록시 제어 제거 | 도달 가능성 테스트 전/후 |
| 3 | 패치 | 고정 버전으로 업데이트, 서비스 다시 시작 | 런타임 버전 증명, 배포 로그 |
| 4 | 비밀 | API 키/토큰 교체, 이전 자격 증명 해지 | 로테이션 타임스탬프, 사용 로그 |
| 5 | 기술 | 설치된 기술/확장 기능 인벤토리, 신뢰할 수 없는 기술/확장 기능 제거 | 스킬 인벤토리 차이 |
| 6 | 모니터링 | 에이전트 하위 프로세스/아웃바운드 버스트에 대한 탐지 추가하기 | SIEM 알림, 기준선 |
| 7 | 정책 | 승인된 사용, 권한 모델, 스킬 검토 프로세스를 정의하세요. | 정책 문서 + 예외 |
이러한 유형의 대응 계획은 모든 뉴스 헤드라인을 개별적으로 추적하는 것보다 더 효과적으로 확장할 수 있습니다.
이것이 2026년 더 광범위한 AI 에이전트 보안으로 연결되는 방법
오픈클로는 이러한 보안 위기에 직면한 마지막 에이전트 플랫폼이 아닙니다. 단지 패턴을 가시화할 수 있을 만큼 충분히 크고 빠른 최초의 플랫폼일 뿐입니다.
더 큰 교훈은 AI 에이전트가 이전에 분리되어 있던 신뢰 도메인을 축소합니다.:
- 사용자 의도
- 실행 자동화
- 비밀 저장소
- 외부 플러그인/스킬
- 로그 및 디버깅 파이프라인
- 채팅 기반 제어 표면
이러한 도메인이 하나의 프로세스로 수렴되면 기존의 가정은 실패합니다:
- "로컬 앱일 뿐입니다"
- "브라우저 도구일 뿐입니다"
- "로그 메시지일 뿐입니다"
- "그냥 마크다운 기술일 뿐입니다"
- "API 키일 뿐입니다"
OpenClaw의 최근 권고 및 사고 보고는 표준 웹 앱 예제에서는 볼 수 없는 방식으로 이를 가시화합니다. (GitHub)
팀에서 AI 에이전트를 중심으로 방어를 운영하는 방법을 평가하는 경우, OpenClaw는 다음과 같은 경우에 좋은 사용 사례입니다. 지속적인 검증 일회성 수표가 아닌
다음과 같은 플랫폼 펜리전트 는 팀이 어려움을 겪는 곳에서 유용하게 사용할 수 있습니다:
- 에이전트 제어면 노출을 반복적으로 테스트
- 업그레이드 후 패치 효과 검증
- 여러 호스트에서 위험한 구성 확인
- 교정 검증을 위한 증거 수집 자동화
- 애드혹 스크립트 없이 안전하고 반복 가능한 테스트 워크플로우 유지
이는 특히 위험이 단일 CVE가 아니라 일련의 조건(노출 + 권한 + 안전하지 않은 확장 + 취약한 모니터링)과 관련된 경우와 관련이 있습니다. '하나의 버그를 발견하는 것'보다는 운영 변경 후에도 환경이 여전히 취약한지를 증명하는 데 더 큰 가치가 있습니다.
펜리전트는 또한 로그 중독/간접 프롬프트 주입 및 기술 생태계 중독을 포함한 에이전트 위험 패턴에 대한 내부 지침 및 교육을 구축하는 보안 팀에 컨텍스트로 사용할 수 있는 여러 OpenClaw 관련 분석 결과를 발표했습니다. (펜리전트)
결론
최근 여러 해킹 그룹이 OpenClaw 인스턴스를 악용하여 API 키를 훔치고 멀웨어를 배포했다는 보고는 고립된 이상 현상이 아닙니다. 이는 높은 권한, 빠른 채택, 확장 에코시스템, 진화하는 보안 경계가 결합된 플랫폼 클래스의 예상된 결과입니다. (사이버 보안 뉴스)
올바른 대응은 AI 에이전트를 "본질적으로 안전하지 않다"고 선언하거나 사고를 사용자 오류로 치부하는 것이 아닙니다. 올바른 대응은 운영 모델을 성숙시키는 것입니다:
- 노출 감소
- 빠른 패치 적용
- 행동 확인
- 권한 최소화
- 스킬을 실행 가능한 코드로 취급
- 로그를 신뢰할 수 없는 입력으로 취급
- 상담원 행동을 일급 보안 신호로 모니터링하세요.
OpenClaw는 업계가 이러한 교훈을 조기에 습득하도록 강요하고 있습니다. 지금 이러한 교훈을 배우는 팀은 OpenClaw라고 불리든 다른 이름으로 불리든 차세대 에이전트 툴링에 훨씬 더 잘 대비할 수 있습니다.
참조
- NVD: CVE-2026-25253 (오픈클로/클로우봇/몰트봇 토큰 관련 게이트웨이 문제) (NVD)
- NVD: CVE-2026-25593(로컬 웹소켓 구성 쓰기 → 게이트웨이 사용자로 명령어 삽입)(NVD)
- 깃허브 어드바이저리 데이터베이스: GHSA-g27f-9qjv-22pm (OpenClaw 로그 중독/웹소켓 헤더를 통한 간접 프롬프트 주입) (GitHub)
- GitHub OpenClaw 보안 권고(지속적인 권고 스트림)(GitHub)
- OpenClaw 로그 중독 및 패치 컨텍스트에 대한 Eye Security 연구(눈 연구)
- Hunt.io 인터넷에 직면한 OpenClaw 인스턴스 및 CVE-2026-25253 컨텍스트에 대한 노출 분석(hunt.io)
- 사이버 보안 뉴스: 여러 해킹 그룹이 OpenClaw 인스턴스를 악용하여 API 키를 훔치고 멀웨어를 배포하는 사례(사이버 보안 뉴스)
- The Verge: OpenClaw 기술 생태계 멀웨어 위험 및 공격 표면의 영향 (The Verge)
- 톰의 하드웨어: 악성 ClawHub 기술, 실행 확장 동작, 소셜 엔지니어링 설정 흐름(톰의 하드웨어)
- OpenClaw 로그 중독/간접 프롬프트 주입 문서 (2026.2.13에서 수정됨) (펜리전트)
- 오픈클로 스킬 중독 / "SKILL.md 가 설치 프로그램이 됩니다" 분석(펜리전트)
- OpenClaw 보안 매니페스트/아키텍처 강화 가이드(펜리전트)
- OpenClaw 제로 클릭 RCE 및 간접 주입 워크스루(과거 컨텍스트/내부 교육)(펜리전트)
Korean 
English 
German 
French 
Spanish 
Portuguese 
Japanese 
Hindi 
Arabic 
Turkish 
Hebrew