OpenClaw AI 에이전트 결함이 프롬프트 인젝션 및 데이터 유출을 가능하게 할 수 있다
Source: The Hacker News
Ravie Lakshmanan • Mar 14, 2026 • 인공지능 / 엔드포인트 보안
China’s National Computer Network Emergency Response Technical Team (CNCERT) has 경고를 발표했습니다 about the security implications of using OpenClaw (formerly Clawdbot and Moltbot), an open‑source, self‑hosted autonomous AI agent. In a post shared on WeChat, CNCERT noted that the platform’s “inherently weak default security configurations,” combined with its privileged system access for autonomous task execution, could be exploited by threat actors to seize control of the endpoint.
Source: …
Prompt‑injection 위협 표면
- 프롬프트 인젝션 – 웹 페이지에 삽입된 악의적인 명령이 에이전트가 해당 콘텐츠에 접근하고 소비할 때 민감한 데이터를 유출하도록 속일 수 있습니다.
- 이 기술은 간접 프롬프트 인젝션 (IDPI) 또는 크로스‑도메인 프롬프트 인젝션 (XPIA) 라고도 불립니다. 대형 언어 모델(LLM)과 직접 상호작용하는 대신, 공격자는 정상적인 AI 기능(예: 웹 페이지 요약, 콘텐츠 분석)을 악용해 조작된 명령을 실행합니다.
악용 사례
- AI 기반 광고 검토 시스템 회피,
- 채용 결정에 영향 미치기,
- SEO 중독, 그리고
- 부정적인 리뷰를 억제함으로써 편향된 응답 생성.
OpenAI는 이번 주 초 블로그 게시물에서 프롬프트‑인젝션 스타일 공격이 단순한 명령 삽입을 넘어 사회공학적 요소까지 포함하도록 진화하고 있다고 밝혔습니다.
“AI 에이전트는 점점 더 웹을 탐색하고, 정보를 검색하며, 사용자를 대신해 행동을 취할 수 있게 되었습니다.”라고 회사는 적었습니다. “이러한 기능은 유용하지만, 동시에 공격자가 시스템을 조작하려는 새로운 방법을 만들기도 합니다.”
— OpenAI 블로그
실제 세계에서의 악용
위험은 가설이 아니다. 지난 달, PromptArmor 연구원들은 메시징 앱(예: Telegram, Discord)의 링크‑미리보기 기능이 OpenClaw와 간접 프롬프트 인젝션을 통해 데이터‑유출 경로가 될 수 있음을 입증했다.
- 공격은 AI 에이전트를 속여 공격자가 제어하는 URL을 생성하게 한다.
- 메시징 앱이 URL을 링크 미리보기로 렌더링하면, 사용자가 링크를 클릭하지 않아도 자동으로 기밀 데이터를 공격자의 도메인으로 전송한다.
“링크 미리보기가 있는 에이전시 시스템에서는 AI 에이전트가 사용자에게 응답하는 즉시 데이터 유출이 발생할 수 있다”고 연구원들은 설명했다. “에이전트는 공격자의 도메인을 사용하는 URL을 구성하도록 조작되며, 동적으로 생성된 쿼리 파라미터에 모델이 사용자에 대해 알고 있는 민감한 데이터가 포함된다.”
— PromptArmor report
CNCERT가 강조한 추가 우려 사항
- 우발적인 데이터 손실 – OpenClaw는 사용자 지시를 오해하여 중요한 정보를 의도치 않게 영구적으로 삭제할 수 있습니다.
- 악의적인 스킬 업로드 – 위협 행위자는 ClawHub와 같은 저장소에 악성 스킬을 업로드할 수 있으며, 설치 시 임의의 명령을 실행하거나 악성코드를 배포합니다.
- 악용 가능한 취약점 – 최근 공개된 OpenClaw의 보안 결함을 이용해 시스템을 침해하고 민감한 데이터를 유출할 수 있습니다.
“금융 및 에너지와 같은 핵심 분야에서 이러한 침해는 핵심 비즈니스 데이터, 영업 비밀 및 코드 저장소의 유출로 이어지거나, 전체 비즈니스 시스템이 완전히 마비되어 계산할 수 없는 손실을 초래할 수 있다”고 CNCERT는 덧붙였습니다.
완화 권고 사항
- 네트워크 제어 강화 – OpenClaw의 기본 관리 포트를 인터넷에 노출되지 않도록 제한합니다.
- 서비스 컨테이너화 – OpenClaw를 컨테이너 또는 샌드박스 환경에 격리합니다.
- 자격 증명 보호 – 비밀번호나 API 키를 평문으로 저장하지 않도록 합니다.
- 제3자 콘텐츠 검증 – 신뢰할 수 있고 검증된 채널에서만 스킬을 다운로드합니다.
- 자동 업데이트 비활성화 (소스에 불완전함)
모든 링크와 이미지는 원본 출처에서 그대로 유지됩니다.
**Tests for skills, and keep the agent up‑to‑date.**
[](https://thehackernews.uk/cyber-comm-guide-d)이러한 개발은 중국 당국이 보안 위험을 억제하기 위해 국영 기업 및 정부 기관이 사무용 컴퓨터에서 OpenClaw AI 앱을 실행하는 것을 제한하기 시작한 시점에 이루어졌으며, 블룸버그가 보도했습니다. 금지는 군인 가족까지 확대될 것으로 알려졌습니다.
OpenClaw의 바이럴한 인기로 인해 위협 행위자들이 OpenClaw 설치 프로그램을 가장한 악성 GitHub 저장소를 배포함으로써 이 현상을 이용하고 있습니다. 이 저장소들은 Atomic 및 Vidar Stealer와 같은 정보 탈취 도구와 GhostSocks라는 Golang 기반 프록시 악성코드(세부 정보)를 배포하며, ClickFix‑style 지침(출처)을 사용합니다.
“이 캠페인은 특정 산업을 목표로 하지 않았으며, Windows와 macOS 환경 모두에 대한 다운로드 지침이 포함된 악성 저장소를 통해 OpenClaw를 설치하려는 사용자를 광범위하게 대상으로 했습니다,” 라고 Huntress가 말했습니다.
“이 성공의 요인은 악성코드가 GitHub에 호스팅되었고, 악성 저장소가 Bing AI 검색 결과에서 OpenClaw Windows에 대한 최고 추천으로 떠올랐기 때문입니다.”
팔로우하기
이 기사가 흥미로우셨나요? 더 많은 독점 콘텐츠를 위해 팔로우하세요:
- Google News:
- Twitter:
- LinkedIn: