ClawJacked 취약점, 악성 사이트가 로컬 OpenClaw AI 에이전트를 WebSocket을 통해 하이재킹하도록 허용

Source: The Hacker News

Source: …

OpenClaw 고위험 보안 이슈 해결 (ClawJacked)

OpenClaw는 고위험 보안 이슈를 해결했습니다. 이 취약점이 성공적으로 악용될 경우, 악성 웹사이트가 로컬에서 실행 중인 인공지능(AI) 에이전트에 연결해 제어를 탈취할 수 있었습니다.

“우리의 취약점은 코어 시스템 자체에 존재합니다 – 플러그인, 마켓플레이스, 사용자 설치 확장 프로그램이 아니라, 문서에 명시된 그대로 실행되는 순수 OpenClaw 게이트웨이입니다,” 라고 Oasis Security가 이번 주에 발표한 보고서에서 말했습니다.
이 결함은 사이버 보안 업체에 의해 ClawJacked라는 코드명으로 지정되었습니다.

위협 모델

개발자는 OpenClaw를 자신의 노트북에 설치하고 실행 중이며, 게이트웨이(로컬 WebSocket 서버)가 localhost에 바인딩되고 비밀번호로 보호되고 있습니다. 공격자는 개발자가 사회공학 등으로 공격자가 제어하는 웹사이트를 방문한다고 가정합니다.

감염 순서는 다음과 같습니다:

1. 웹 페이지의 악성 JavaScript가 OpenClaw 게이트웨이 포트의 localhost에 WebSocket 연결을 시도합니다.
2. 스크립트는 속도 제한이 없는 메커니즘을 이용해 게이트웨이 비밀번호를 무차별 대입(brute‑force)합니다.
3. 관리자 수준 권한으로 인증에 성공하면, 스크립트는 신뢰된 디바이스로 은밀히 등록합니다. 게이트웨이는 사용자에게 어떠한 프롬프트도 표시하지 않고 자동으로 승인합니다.
4. 공격자는 AI 에이전트를 완전히 장악하게 되며, 다음과 같은 작업을 수행할 수 있습니다:
   • 에이전트와 상호작용
   • 구성 데이터 덤프
   • 연결된 노드 열거
   • 애플리케이션 로그 읽기

“방문하는 어떤 웹사이트라도 로컬호스트에 연결을 열 수 있습니다. 일반 HTTP 요청과 달리 브라우저는 이러한 교차 출처 연결을 차단하지 않죠,” 라고 Oasis Security가 설명했습니다. “따라서 여러분이 웹사이트를 탐색하는 동안, 해당 페이지에서 실행되는 JavaScript가 조용히 로컬 OpenClaw 게이트웨이에 연결을 열 수 있습니다. 사용자는 전혀 인지하지 못합니다.”

“그 잘못된 신뢰는 실제적인 결과를 초래합니다. 게이트웨이는 로컬 연결에 대해 여러 보안 메커니즘을 완화하는데, 여기에는 사용자에게 프롬프트를 표시하지 않고 새로운 디바이스 등록을 자동 승인하는 것이 포함됩니다. 일반적으로 새로운 디바이스가 연결될 때는 사용자가 페어링을 확인해야 하지만, localhost에서는 자동으로 처리됩니다.”

패치 및 복구

책임 있는 공개 이후, OpenClaw는 24시간 미만 내에 버전 2026.2.25(2026년 2월 26일 출시)로 패치를 배포했습니다. 사용자는 다음을 수행해야 합니다:

• 최신 업데이트를 즉시 적용합니다.
• AI 에이전트에 부여된 접근 권한을 정기적으로 감사합니다.
• 비인간(에이전트) 정체성에 대한 거버넌스 제어를 강화합니다.

맥락: 보안 검토 확대

이번 개발은 OpenClaw 생태계에 대한 감시가 강화되는 시점에 이루어졌습니다. AI 에이전트는 다양한 시스템에 깊이 접근할 수 있으며, 기업 도구 전반에 걸쳐 작업을 수행할 수 있어, 침해될 경우 파급 효과가 크게 확대됩니다.

• Bitsight와 NeuralTrust는 인터넷에 노출된 OpenClaw 인스턴스가 공격 표면을 증가시킨다고 보고했습니다. 통합된 각 서비스는 공격 범위를 넓히며, 에이전트가 처리하는 콘텐츠(예: 이메일이나 Slack 메시지)에 삽입된 프롬프트 인젝션을 통해 무기화될 수 있습니다.
• OpenClaw는 또한 로그 포이즈닝 취약점을 패치했는데, 이는 공개된 TCP 포트 18789에서 WebSocket 요청을 통해 로그 파일에 악성 콘텐츠를 기록할 수 있게 했습니다. 에이전트가 자체 로그를 트러블슈팅에 활용하기 때문에, 이 결함은 간접 프롬프트 인젝션을 삽입하는 데 악용될 수 있었습니다.

Source: https://www.endorlabs.com/learn/how-ai-sast-traced-data-flows-to-uncover-six-openclaw-vulnerabilities

예상되는 결과.

• 이 문제는 버전 2026.2.13 (2026년 2월 14일 배포)에서 해결되었습니다.
• “주입된 텍스트가 신뢰할 수 없는 입력이 아니라 의미 있는 운영 정보로 해석될 경우, 이는 의사결정, 제안 또는 자동화된 행동에 영향을 줄 수 있다”고 Eye Security가 언급했습니다. “따라서 영향은 ‘즉각적인 장악’이 아니라 에이전트의 추론을 조작하고, 문제 해결 단계에 영향을 미치며, 에이전트가 컨텍스트를 드러내도록 유도될 경우 잠재적인 데이터 유출 및 연결된 통합의 간접적인 오용이 발생할 수 있습니다.”

Recent OpenClaw vulnerabilities

최근 몇 주 동안 OpenClaw가 여러 취약점에 취약한 것으로 밝혀졌으며, 포함되는 항목은 다음과 같습니다:

• CVE‑2026‑25593 – advisory link
• CVE‑2026‑24763 – advisory link
• CVE‑2026‑25157 – advisory link
• CVE‑2026‑25475 – advisory link
• CVE‑2026‑26319 – (details pending)

CVE‑2026‑26322, CVE‑2026‑26329 – OpenClaw Vulnerabilities
Source: Endor Labs

• Severity: moderate → high → 심각도: 보통 → 높음
• Impact: Remote code execution, command injection, SSRF, authentication bypass, path traversal → 영향: 원격 코드 실행, 명령어 삽입, SSRF, 인증 우회, 경로 탐색
• Fixed in OpenClaw versions:

“AI‑에이전트 프레임워크가 기업 환경에서 점점 더 보편화됨에 따라, 보안 분석은 전통적인 취약점과 AI‑특화 공격 표면 모두를 다룰 수 있도록 진화해야 합니다.” – Endor Labs.

ClawHub의 악성 스킬

Atomic Stealer 배포

연구 출처: The Hacker News, Trend Micro, CrowdStrike

• 위협 행위자: Cookie Spider (사이버 범죄 조직)
• 악성코드: Atomic Stealer – macOS 정보를 탈취하는 스틸러.
• 전달 경로: 악성 OpenClaw skills가 ClawHub(OpenClaw 스킬을 위한 공개 마켓플레이스)에 업로드됨.

“감염 체인은 사전 조건을 설치하는 일반적인 SKILL.md 파일에서 시작됩니다,” – Trend Micro. “해당 스킬은 겉보기에는 무해해 보이며 VirusTotal에서도 정상으로 표시되었습니다. OpenClaw은 웹사이트에 접속해 설치 지침을 가져오고, LLM이 지침을 따르기로 하면 설치를 진행합니다.”

• 명령 호스트: openclawcli.vercel[.]app
• 페이로드 서버: 91.92.242[.]30 (악성 스틸러 다운로드)

LiuComment 악성코드 캠페인

출처: OpenGuardRails

• 행위자: @liuhui1010
• 전술: 정품 스킬 페이지에 댓글을 달아, 스킬이 “macOS에서 작동하지 않는다”는 경우 사용자가 악성 터미널 명령을 실행하도록 유도.
• 페이로드: 91.92.242[.]30에서 제공되는 동일한 Atomic Stealer.

Straiker 분석 – 71개의 악성 스킬

출처: Straiker AI security

• 결과: 조사한 3,505개 스킬 중 71개가 악성으로 확인됨.

• 주요 사례:

  1. bob‑p2p‑beta – AI 에이전트에게 Solana 개인 키를 평문으로 저장하고, pump.fun에서 $BOB 토큰을 구매하며, 결제 흐름을 공격자 제어 인프라로 라우팅하도록 지시.
  2. runware – 개발자 신뢰를 얻기 위해 무해한 이미지 생성 도구로 가장.

• 행위자:

  • ClawHub의 “26medias”
  • Moltbook(AI 에이전트를 위한 소셜 네트워크) 및 X의 “BobVonNeumann”

“BobVonNeumann은 에이전트들이 서로 상호작용하도록 설계된 소셜 네트워크인 Moltbook에서 AI 에이전트로 자신을 소개합니다,” 라고 연구원 Yash Somalkar와 Dan Regalado가 말했습니다. “그 위치에서 자체 악성 스킬을 다른 에이전트에게 직접 홍보함으로써, 에이전트가 기본적으로 서로에게 신뢰를 부여하도록 설계된 점을 악용합니다. 이는 사회공학 레이어가 추가된 공급망 공격입니다.”

이미지

Recommendations

1. 설치 전에 스킬을 감사하십시오 – 코드, 권한 및 외부 호출을 검토합니다.
2. 절대 자격 증명이나 개인 키를 제공하지 마십시오 단, 절대적으로 필요할 경우를 제외하고.
3. 스킬 동작을 모니터링하십시오 – 런타임 텔레메트리와 샌드박싱을 사용합니다.

Source: Microsoft Defender Security Research

OpenClaw에 대한 Microsoft 권고

“이러한 특성 때문에 OpenClaw는 지속적인 자격 증명이 포함된 신뢰할 수 없는 코드 실행으로 취급해야 합니다,” 라고 팀이 경고했습니다. “표준 개인용 또는 기업용 워크스테이션에서 실행하는 것은 적절하지 않습니다.”

배포 가이드라인

• 완전 격리된 환경(전용 VM 또는 물리 시스템)을 사용하십시오.
• 비특권, 전용 자격 증명으로 실행하십시오.
• 접근을 비민감 데이터만으로 제한하십시오.
• 지속적인 모니터링을 구현하고 런타임에 대한 재구축 계획을 유지하십시오.

최신 정보 유지

보안 업데이트를 보려면 팔로우하십시오:

• Google News: Google
• Twitter: thehackersnews
• LinkedIn: The Hacker News