ClawJacked: 웹사이트 방문 시 AI 에이전트가 탈취될 때

I’m ready to translate the article for you, but I don’t see the text you’d like me to work on. Could you please paste the content you want translated (excluding the source line you’ve already provided)? Once I have the text, I’ll translate it into Korean while preserving the formatting, markdown, and any code blocks or URLs.

자율 AI 에이전트의 부상

2026년은 AI 에이전트가 챗봇에서 자율 운영자로 전환된 해입니다. OpenClaw — Anthropic이 리브랜딩을 강요하기 전 Clawdbot이라고 불렸던 — 은 역사상 가장 빠르게 성장한 GitHub 저장소 중 하나가 되었으며, 몇 주 만에 135 000 스타를 기록했습니다.

전통적인 AI 비서가 질문에 답하고 잊어버리는 것과 달리, OpenClaw는 다릅니다. 그것은 지속합니다. 그것은 행동합니다. 쉘 명령을 실행하고, 파일을 관리하고, 웹을 탐색하고, 이메일을 보내며, 로컬 게이트웨이 서버를 통해 디지털 생활을 조율합니다.

Architecture – WebSocket 게이트웨이가 당신의 머신에서 실행되고, AI‑에이전트 노드가 이에 연결되며, 모든 것이 인증된 세션을 통해 통신합니다. 당신의 휴대폰, 노트북, 데스크톱이 모두 이 게이트웨이를 통해 연결되어 기능과 컨텍스트를 공유합니다.

강력합니다. 또한 아무도 생각하지 못했던 거대한 공격 표면이기도 합니다.

혼란스러운 대리인 반환

혼란스러운 대리인(Confused Deputy) 문제는 1988년부터 존재해 왔습니다. 개념은 간단합니다: 권한이 상승된 프로그램이 공격자를 대신해 그 권한을 오용하도록 속아 넘어가는 것입니다. 이 문제는 CSRF, SSRF 및 수많은 다른 취약점 클래스의 근본 원인입니다.

ClawJacked는 AI‑에이전트 시대에 맞게 조정된 혼란스러운 대리인 문제이며, 이전에 본 어떤 것보다도 위험합니다. 왜냐하면 해당 “대리인”이 여러분의 디지털 생활에 루트 수준 접근 권한을 가지고 있기 때문입니다.

ClawJacked 작동 방식: 완전 장악을 위한 네 단계

Oasis Security 연구원들은 어떤 웹사이트라도 로컬에서 실행 중인 OpenClaw 에이전트를 완전히 제어할 수 있음을 발견했습니다. 공격 체인은 그 단순함이 매력적입니다:

단계 1: 로컬호스트로의 WebSocket

공격자가 제어하는 웹사이트를 방문하면, 페이지의 JavaScript가 OpenClaw의 게이트웨이 포트에 있는 localhost로 WebSocket 연결을 엽니다.

핵심 포인트: localhost에 대한 WebSocket 연결은 교차 출처 정책에 의해 차단되지 않습니다. 웹 페이지에서 localhost로의 표준 HTTP 요청은 CORS에 의해 차단되지만, WebSocket 연결은 허용됩니다.

// This works from ANY website
const ws = new WebSocket('ws://localhost:GATEWAY_PORT');

단계 2: 게이트웨이 비밀번호 무차별 대입

OpenClaw의 게이트웨이는 인증 시도에 대한 속도 제한을 구현하고 있지만, localhost 연결에 대해서는 예외를 두고 있습니다. 연구원들은 브라우저 JavaScript를 이용해 “초당 수백 번의 비밀번호 추측”을 시연했으며, 1초 이내에 일반적인 비밀번호 사전을 모두 소진했습니다.

“로컬” 연결을 신뢰하도록 설계된 보안 메커니즘이 ClawJacked의 핵심입니다: “로컬”이 신뢰를 의미하지는 않습니다. 어느 웹사이트든 localhost에 접근할 수 있기 때문입니다.

단계 3: 무음 디바이스 등록

인증이 완료되면 공격자의 스크립트가 새로운 디바이스로 등록됩니다. 일반적으로 디바이스 페어링에는 “이 디바이스를 신뢰하시겠습니까?”라는 사용자 확인이 필요합니다. OpenClaw는 localhost에서 오는 디바이스 페어링을 자동 승인하므로—프롬프트도, 알림도 없습니다. 공격자는 귀하의 AI‑에이전트 네트워크에 신뢰된 디바이스로 조용히 추가됩니다.

단계 4: 완전 에이전트 제어

게임 오버. 이제 공격자는 다음을 수행할 수 있습니다:

• 임의의 명령 실행 – 연결된 모든 노드에서
• AI 에이전트가 접근 가능한 모든 파일 읽기
• 자격 증명, API 키, 비밀 정보 탈취
• 연결된 모바일 디바이스의 카메라 및 연락처 접근
• 애플리케이션 로그 및 감사 기록 열람
• 네트워크 전체에 걸친 모든 페어링 디바이스 열거
• AI 에이전트에게 가능한 모든 작업 지시

이 모든 과정은 피해자가 웹페이지를 탐색하고 있는 동안 일어납니다. 클릭도, 다운로드도, 경고도 없습니다.

The Trust Graph Problem

ClawJacked은 단일 제품의 하나의 취약점에 국한되지 않습니다. 이는 AI‑에이전트 시스템을 구축하는 방식에 내재된 근본적인 구조적 결함, 연쇄 신뢰(cascading trust) 를 드러냅니다.

OpenClaw의 게이트웨이는 노드—macOS 앱, iOS 기기, 기타 머신—와 연결됩니다. 각 노드는 쉘 접근, 파일 시스템, 카메라, 연락처, 캘린더와 같은 기능을 노출합니다. 게이트웨이를 장악하면 단일 기기를 손상시키는 것이 아니라 그때까지 연결된 모든 기기와 그 기기들이 접근할 수 있는 모든 서비스를 손상시키게 됩니다.

Bitsight와 NeuralTrust의 보안 연구원들은 이것이 어떻게 확산되는 폭발 반경을 만들는지 문서화했습니다. 당신의 OpenClaw 에이전트가 다음과 연결되어 있다면:

• GitHub → 공격자가 당신의 저장소에 코드를 푸시할 수 있음
• Slack → 공격자가 당신을 가장해 메시지를 읽고 보낼 수 있음
• AWS → 공격자가 당신의 클라우드 인프라에 접근할 수 있음
• Email → 공격자가 민감한 통신을 유출할 수 있음

신뢰 그래프는 웹 페이지의 단일 WebSocket 연결이 수십 개 시스템에 걸친 접근으로 연쇄적으로 확산될 수 있음을 의미합니다. 이것이 바로 “독성 조합(toxic combination)” 문제이며, 정당한 에이전트‑간 통신이 체인 중 어느 하나라도 손상될 경우 지수적인 보안 위험을 초래합니다.

Source: …

Beyond OpenClaw: The Agent Security Crisis

2026년 1월 말에 수행된 보안 감사에서는 OpenClaw에서 512개의 취약점이 발견되었으며, 그 중 8개는 심각한 수준으로 분류되었습니다. ClawJacked (CVE‑2026‑25253) 외에도 주목할 만한 CVE는 다음과 같습니다:

하지만 이것은 OpenClaw에만 국한된 문제가 아닙니다. 네트워크 리스너를 갖춘 모든 로컬 AI 에이전트는 동일한 유형의 공격에 취약할 수 있습니다.

로컬호스트는 보안 경계가 아니다

ClawJacked에서 얻은 핵심 교훈은 겉보기와는 달리 간단합니다: 로컬호스트는 신뢰 경계가 아니다.

수십 년 동안 개발자들은 로컬호스트 연결을 본질적으로 신뢰할 수 있는 것으로 여겨왔습니다. “누군가 로컬호스트에 연결할 수 있다면 이미 머신에 접근할 수 있다.”는 가정은 언제나 취약했지만, 로컬호스트에 연결되는 것이 다른 로컬 프로세스뿐이었을 때는 크게 문제가 되지 않았습니다.

브라우저가 그 상황을 바꾸었습니다. WebSocket, WebRTC 및 기타 브라우저 API는 어떤 웹페이지에서도 로컬호스트에 접근할 수 있게 합니다. 여러분의 로컬 서비스는 방문하는 모든 웹사이트에 노출됩니다. 그리고 광범위한 기능을 가진 AI 에이전트 시대에, 이러한 노출의 파급 효과는 엄청납니다.

지금 당장 해야 할 일

OpenClaw를 실행 중이라면

• 공개 후 24시간 이내에 패치된 2026.2.25 버전 이상으로 즉시 업데이트하십시오.
• 연결된 장치를 감사하고 인식하지 못하는 장치는 모두 폐기하십시오.
• 예상치 못한 localhost 연결에 대한 게이트웨이 로그를 검토하십시오.

AI 에이전트를 구축 중이라면

• localhost를 인증 또는 속도 제한에서 절대 제외하지 마십시오.
• 출처와 관계없이 모든 장치 등록에 대해 명시적인 사용자 확인을 요구하십시오.
• WebSocket 연결에 원본 확인을 구현하십시오.
• 제로 트러스트 원칙을 적용하여 AI 에이전트를 특권 아이덴티티로 취급하십시오.
• 모든 통합이 공격 범위를 확대한다고 가정하십시오.

보안 연구원이라면

• AI 에이전트 게이트웨이는 새로운 공격 표면입니다. 에이전트 기능을 갖춘 로컬 서버를 실행하는 모든 제품이 대상이 됩니다.
• AI 에이전트에 적용된 혼란된 대리인(confused‑deputy) 패턴은 풍부한 사냥터입니다.
• 에이전트 통합 전반에 걸친 신뢰 그래프 분석을 통해 연쇄적인 취약점 체인을 밝혀낼 수 있습니다.

Source: https://www.example.com/article

더 큰 그림

우리는 명령을 실행하고, 파일에 접근하며, 이메일을 보내고, 디지털 생활 전반에 걸쳐 행동을 취할 수 있는 시스템을 구축하고 있습니다 — 그런 다음 “신뢰된” 연결에 대해 속도 제한을 해제한 상태로 로컬호스트에 연결합니다.

AI 에이전트 시대는 AI‑에이전트 악용 시대이기도 합니다. ClawJacked는 최초의 고프로파일 사례이지만, 마지막은 아닐 것입니다. 자율 AI 시스템이 급증함에 따라 공격 표면은 AI 모델이 아니라 그 주위에 구축한 인프라입니다.

혼란스러운 대리인이 업그레이드되었습니다. 그리고 이제 루트 접근 권한을 가졌습니다.

출처

• Oasis Security Research
• HackRead
• Kaspersky
• The Hacker News