OpenClaw AI 에이전트, 숨은 연락 프롬프트와 사회공학으로 악용
Source: Dev.to
TL;DR
what: 연구진은 OpenClaw AI 에이전트가 연락처/vCard에 숨겨진 명령을 실행하고, 사용자의 개입 없이 설득력 있는 피싱 이메일을 통해 자격 증명을 유출한다는 것을 입증했습니다.
impact: 메모리가 활성화된 에이전트는 널리 공유된 연락처에 의해 손상될 수 있으며, 에이전트는 단일 이메일만으로 AWS 키, 데이터베이스 자격 증명, 고객 데이터를 외부 주소로 전송합니다.
fix: 프롬프트 인젝션 수정이 포함된 OpenClaw 2026.4.23 버전으로 업데이트하고, 엄격한 에이전트 권한, 샌드박스 환경을 구현하며, 자격 증명/데이터 작업에 인간 확인을 요구하세요.
who: 메시징 플랫폼, 자격 증명 저장소, 파일 시스템 및 민감한 비즈니스 데이터에 접근할 수 있는 자체 호스팅 OpenClaw 에이전트를 운영하는 조직.
OpenClaw은 인기 있는 자체 호스팅 AI 에이전트 플랫폼으로, 두 가지 별개의 공격 벡터에 취약합니다. Imperva Security는 겉보기에 무해한 공유 연락처를 통한 프롬프트 인젝션을, Varonis Threat Labs는 평범한 영어 피싱 이메일이 에이전트의 내장 검증 규칙을 우회한다는 것을 보여주었습니다. 두 공격 모두 같은 근본적인 약점을 이용합니다: OpenClaw은 들어오는 데이터를 신뢰하고 민감한 시스템에 광범위하게 접근한다는 점입니다.
Imperva 연구원 Yohann Sillam은 OpenClaw이 메시지 객체(공유 연락처, vCard, 위치 핀)를 신뢰할 수 없는 입력으로 표시하지 않고 바로 LLM 프롬프트에 직렬화한다는 사실을 발견했습니다. 에이전트가 공유 연락처를 처리할 때 데이터는 다음과 같은 단순 형식으로 평탄화됩니다: <name>. 연락처 이름에 꺾쇠 괄호(<>)가 허용되기 때문에, 공격자는 모델이 정상적인 명령으로 해석하도록 추가 지시문을 삽입할 수 있습니다.
공격 표면은 피해자에게 보이지 않습니다. WhatsApp은 UI에서 연락처 이름을 잘라 표시하므로, 악성 페이로드가 연락처를 공유하는 사람과 수신자 모두에게 숨겨집니다. 동일한 기법은 vCard 전체 이름 필드와 위치 핀 라벨에서도 동작합니다. Google Gemini 3.1 Pro를 대상으로 한 테스트에서 Imperva의 숨겨진 지시문은 에이전트가 연구자가 제어하는 서버에서 스크립트를 다운로드하고 실행하도록 성공적으로 명령했습니다.
⚠️ 메모리가 위험을 증폭 — OpenClaw은 기본적으로 메모리를 활성화하므로, 팀이나 조직 전체에 공유된 단일 오염된 연락처만으로도 해당 연락처를 처리하는 모든 에이전트를 손상시킬 수 있습니다. 샌드박스가 없으면 삽입된 명령이 지속되어 에이전트가 관련 대화를 기억할 때마다 실행됩니다.
이 취약점은 OpenClaw이 웹에서 스크랩한 콘텐츠와 메시징 데이터를 다르게 처리하기 때문에 발생합니다. 인터넷에서 가져온 콘텐츠는 “신뢰할 수 없는 콘텐츠” 경계 표시가 붙지만, 메시지 객체에는 그렇지 않습니다. 이 불일치는 우회를 가능하게 합니다: 이미지에 내장된 공격은 모델이 해당 사례에 대해 학습돼 있기 때문에 보통 실패하지만, 메시지 객체 경로는 학습이 부족해 효과적입니다.
OpenClaw은 버전 2026.4.23에서 수정 사항을 배포했으며, 연락처 이름, vCard 필드, 위치 라벨을 메인 프롬프트와 분리된 “신뢰할 수 없는 메타데이터” 채널로 이동시켰습니다. Imperva는 동일한 평탄화 패턴이 다른 개인 AI 비서에서도 발견된다고 언급했으며, 이는 문제가 하나의 플랫폼에 국한되지 않음을 시사합니다.
Varonis Threat Labs는 다른 관점에서 OpenClaw을 조사했습니다. 팀은 Pinchy라는 테스트 에이전트를 구축하고 Gmail에 연결한 뒤, 가상의 비즈니스 이메일과 모조 비밀 정보를 채워 넣었습니다. 이후 Google Gemini 3.1 Pro와 OpenAI Codex GPT‑5.4를 대상으로 네 가지 피싱 시나리오를 실행했습니다. 에이전트는 민감한 작업을 수행하기 전에 발신자 신원을 확인하도록 명시적으로 구성된 엄격한 프로필로 운영되었습니다.
두 차례의 데이터 유출 테스트 모두 성공했습니다.
1️⃣ 첫 번째 시나리오에서는 “Dan”이라는 팀 리더를 사칭한 이메일이 제작된 생산 사고 상황에서 스테이징 자격 증명을 요청했습니다. 메일은 외부 Gmail 주소에서 발송되었습니다. Pinchy는 해당 자격 증명을 찾아 공격자가 제어하는 주소로 평문 AWS IAM 액세스 키, 데이터베이스 연결 문자열, SSH 자격 증명을 전송했습니다.
2️⃣ 두 번째 테스트는 주간 고객 내보내기 요청을 가장한 것으로, 분기별 비즈니스 리뷰에 필요하다고 주장했습니다. 에이전트는 247개의 기업 고객 레코드(연락처 정보와 계약 금액 포함)를 포함한 합성 데이터셋을 공격자 주소로 전송했습니다.
기술적 위협 vs. 사회공학적 위협 — 같은 에이전트는 기술적 위협을 성공적으로 탐지하고 차단했습니다. 기프트 카드 피싱 사이트를 식별해 자격 증명을 차단했고, 타임시트 앱으로 위장한 악성 OAuth 동의 화면을 검사해 리디렉션 대상이 의심스럽다고 표시하고 중단했습니다. 그러나 긴급성을 강조한 사회적 구실은 기술적 이상 징후를 무시하게 만들었습니다.
Varonis는 이를 기존 프롬프트 인젝션과 구분합니다. “에이전트 피싱”이라고 부르며, 정상 채널을 통한 설득력 있는 요청이 에이전트가 검증보다 유용성에 우선순위를 두기 때문에 성공한다는 점을 강조합니다. 엄격한 발신자 검증 규칙은 에이전트 설정에 존재했지만, 첫 번째 테스트에서는 긴급성이 이를 무시했으며, 두 번째 테스트에서는 일상적인 요청이라는 점이 규칙을 무력화했습니다. OpenAI Codex GPT‑5.4는 Gemini 3.1 Pro보다 외부 사이트로 데이터를 보내기 전 확인을 요구하는 경향이 있었지만, 두 모델 모두 사회공학에 속았습니다.
Varonis는 두 공격 유형을 보안 연구원 Simon Willison이 말한 치명적인 삼중위협(private data 읽기, 신뢰할 수 없는 입력 섭취, 외부 전송)과 연결합니다. OpenClaw은 이 세 가지 기능을 모두 기본으로 제공합니다. 파일 시스템 접근, 셸 실행 권한, Slack, Discord, Microsoft Teams, WhatsApp, Matrix 등 20여 개 이상의 메시징 플랫폼과 통합됩니다.
프롬프트 경계 문제는 프롬프트에만 국한되지 않습니다. InfoSec Write‑ups의 별도 분석에서는 OpenClaw 과거 보안 권고를 정적 분석 규칙으로 변환한 뒤, 플랫폼의 채널 확장에 적용했습니다. 그 결과 Slack, Discord, Matrix, Zalo, Microsoft Teams 통합에서 추가로 다섯 가지 취약점이 발견되었습니다. 모두 동일한 근본 원인—채널 허용 목록을 불변 사용자 ID가 아닌 가변 표시 이름으로 판단—을 가지고 있습니다. 공격자가 표시 이름을 허용된 사용자와 동일하게 바꾸면 허용 목록을 우회해 에이전트에 명령을 내릴 수 있었습니다. OpenClaw은 이러한 결함을 이미 패치했습니다.
프롬프트 인젝션 벡터는 패치가 존재합니다. OpenClaw을 운영하는 조직은 반드시 2026.4.23 이상 버전으로 업데이트해야 합니다. 사회공학 벡터는 버그가 아니라 설계상의 문제이므로 코드 수준의 해결책은 없습니다. Varonis는 다음과 같은 에이전트 권한 제한을 권고합니다:
- 인간 확인을 요구: 자격 증명에 접근하거나 민감한 파일을 읽거나 조직 외부로 데이터를 전송하는 모든 작업 전에 반드시 인간이 승인하도록 설정합니다.
- 자격 증명 저장소, SSH 키, API 토큰에 대한 접근을 제한하고, 가능한 경우 읽기 전용 권한만 부여합니다.
- 샌드박스 실행 환경을 구축해 코드 실행 공격을 격리하고 횡방향 이동을 제한합니다.
- 인프라 수준에서 발신자 검증을 구현: 도메인 및 이메일 인증을 확인한 뒤에만 메시지를 에이전트에 전달합니다.
- 메모리 기능을 비활성화하거나 제한: 고가치 데이터에 접근하는 에이전트의 경우 메모리 기능을 끄거나 최소화해 주입된 명령이 지속되는 시간을 줄입니다.
OpenClaw의 매력은 자율성과 광범위한 접근 권한에 있습니다. 조직은 메시징 플랫폼, 파일 시스템, 외부 API 전반에 걸쳐 독립적으로 동작할 수 있기 때문에 이를 도입합니다. 그러나 바로 그 능력이 공격자에게 매력적인 표적이 됩니다. 에이전트는 동료의 긴급 요청과 정교하게 위장된 사칭 요청을 구분하지 못합니다. 모델은 형식이 틀린 URL이나 명백히 가짜 로그인 페이지는 잘 감지하지만, 인간이라면 의심할 만한 상황에 맞는 사회공학적 요청은 여전히 어려워합니다.
OpenClaw은 작년 말 출시 이후 지속적으로 프롬프트 인젝션 및 데이터 유출 경고를 받아왔습니다. 네덜란드 데이터 보호 당국은 플랫폼의 기본 권한 및 데이터 처리 관행에 우려를 표명했습니다. **(