ClawJacked: 악성 웹사이트가 WebSocket을 통해 로컬 AI 에이전트를 탈취하는 방법
Source: Dev.to
위 링크에 있는 전체 글을 번역하려면, 번역하고자 하는 텍스트(본문)를 제공해 주시겠어요?
코드 블록, URL 및 마크다운 형식은 그대로 유지하면서 한국어로 번역해 드리겠습니다.
무슨 일 있었나요
Oasis Security는 OpenClaw — 인기 있는 오픈소스 AI 에이전트 프레임워크 — 에서 고‑심각도 취약점 ClawJacked 를 공개했습니다. 이 결함은 사용자가 방문하는 모든 웹사이트가 WebSocket 연결을 통해 로컬에서 실행 중인 AI 에이전트를 조용히 탈취할 수 있게 하며, 공격자에게 에이전트와 연결된 모든 통합에 대한 완전한 제어 권한을 부여합니다.
이 취약점은 OpenClaw 버전 2026.2.25 에서 패치되었으며, 2026년 2월 26일에 릴리스되었습니다 — 책임 있는 공개 후 24시간 이내에.
Source: …
기술 분석
ClawJacked는 기본적인 신뢰 가정을 악용합니다. OpenClaw는 로컬호스트 연결에 대해 보안 메커니즘을 완화하며, 여기에는 무음 장치 등록 승인도 포함됩니다. 공격 체인은 네 단계로 진행됩니다.
단계 1: WebSocket 연결
사용자가 악성 웹페이지를 방문하면, 페이지의 JavaScript가 OpenClaw 게이트웨이 포트의 localhost에 WebSocket 연결을 엽니다. 브라우저는 로컬호스트 WebSocket 연결을 차단하지 않으며 CORS 제한도 적용되지 않습니다.
// Attacker's page — connects to local AI agent
const ws = new WebSocket('ws://localhost:OPENCLAW_PORT');단계 2: 비밀번호 무차별 대입
OpenClaw의 게이트웨이는 인증 시도에 속도 제한이 없습니다. 공격자의 스크립트는 WebSocket 연결을 통해 게이트웨이 비밀번호를 빠르게 무차별 대입합니다.
단계 3: 무음 장치 등록
인증이 완료된 후, 공격자는 신뢰할 수 있는 장치로 등록합니다. 연결이 로컬호스트에서 왔기 때문에 게이트웨이는 자동 승인을 수행하고 사용자에게 별다른 알림을 주지 않습니다.
단계 4: 완전 침해
관리자 수준의 접근 권한을 얻은 공격자는 다음을 수행할 수 있습니다:
- AI 에이전트를 통한 작업 실행 – 모든 연결된 플랫폼에 걸쳐
- 구성 데이터 추출 – API 키 및 비밀키 포함
- 연결된 노드 열거 – 내부 인프라 파악
- 애플리케이션 로그 접근 – 민감한 운영 데이터 포함
- 횡방향 이동 – 에이전트가 접근 가능한 모든 시스템으로 확장
관련 CVE
| CVE | 유형 | 심각도 |
|---|---|---|
| CVE‑2026‑25593 | RCE | 심각 |
| CVE‑2026‑24763 | 인증 우회 | 심각 |
| CVE‑2026‑25157 | RCE | 높음 |
| CVE‑2026‑25475 | 인증 우회 | 높음 |
| CVE‑2026‑26319 | 명령어 삽입 | 높음 |
| CVE‑2026‑26322 | 명령어 삽입 | 높음 |
| CVE‑2026‑26329 | SSRF | 보통 |
MITRE ATT&CK Mapping
| 기법 | ID | 단계 |
|---|---|---|
| 원격 서비스 악용 | T1210 | 횡 이동 |
| 무차별 대입 | T1110 | 자격 증명 접근 |
| 유효한 계정: 로컬 | T1078.003 | 지속성 |
| 애플리케이션 계층 프로토콜: WebSocket | T1071.001 | 명령 및 제어 |
| 로컬 시스템에서 데이터 | T1005 | 수집 |
침해 지표
ClawJacked 악용 캠페인과 관련된 다음 IOC를 주시하십시오:
- IP:
91.92.242[.]30— Atomic Stealer 페이로드 배포 - Domain:
openclawcli.vercel[.]app— 악성 스킬 설치 유인 - Actor:
@liuhui1010— ClawHub 댓글 캠페인에서 악성 스킬을 배포
탐지 및 사냥
네트워크 기반 탐지
브라우저 프로세스에서 로컬호스트로의 예상치 못한 WebSocket 연결을 모니터링합니다:
# Sigma‑style rule: Browser process connecting to localhost WebSocket
title: Suspicious Localhost WebSocket from Browser
logsource:
category: network_connection
detection:
selection:
DestinationIp: '127.0.0.1'
SourceImage|endswith:
- 'chrome.exe'
- 'firefox.exe'
- 'msedge.exe'
condition: selection
level: medium호스트 기반 탐지
사용자 개입 없이 OpenClaw 게이트웨이 장치 등록 이벤트를 찾습니다:
# Check OpenClaw logs for auto‑approved device registrations
grep -i "device.*registered.*auto" /var/log/openclaw/*.log
# Monitor WebSocket connection volume to localhost
ss -tlnp | grep -E 'LISTEN.*localhost'Mitigation
- 즉시 업데이트 to OpenClaw version 2026.2.25 or later
- 에이전트 권한 감사 — review what systems your AI agents can access
- 모든 인증 엔드포인트에 속도 제한 적용 on all authentication endpoints
- 디바이스 등록 자동 승인 비활성화, even from localhost
- 격리된 시스템에 배포 — never run AI agent gateways on developer workstations
- 전용 비특권 자격 증명 사용 for agent integrations
- 무단 디바이스 등록 지속 모니터링 for unauthorized device registrations
더 큰 그림
ClawJacked는 증가하는 공격 표면을 강조합니다: 로컬호스트 연결을 신뢰하는 AI 에이전트 프레임워크. 조직이 내부 도구, 데이터베이스 및 API에 접근할 수 있는 AI 에이전트를 배포함에 따라, 하나의 손상된 에이전트가 미치는 파급 효과가 기하급수적으로 커집니다.
교훈은 명확합니다 — AI 에이전트를 특권 아이덴티티로 다루세요. 서비스 계정에 적용하는 동일한 제로‑트러스트 원칙을 적용하십시오: 최소 권한, 지속적인 모니터링, 그리고 로컬호스트가 신뢰와 동일하다고 가정하지 마세요.
노출 위험을 평가하는 데 도움이 필요하신가요? 무료 침투 테스트를 요청하세요 — 현재 오픈 베타 중입니다.