OpenClaw, VirusTotal 스캔을 통합해 악성 ClawHub 스킬 탐지
Source: The Hacker News
Ravie Lakshmanan
2026년 2월 8일 인공지능 / 취약점
OpenClaw, VirusTotal과 파트너십 체결
OpenClaw(이전 명칭 Moltbot 및 Clawdbot)은 Google 소유의 VirusTotal과 파트너십을 발표했습니다. 이를 통해 ClawHub에 업로드되는 스킬을 스캔합니다. 이번 협업은 에이전시 생태계의 보안을 강화하기 위한 광범위한 노력의 일환입니다.
“ClawHub에 게시되는 모든 스킬은 이제 VirusTotal의 위협 인텔리전스, 특히 새로운 Code Insight 기능을 사용해 스캔됩니다.”라고 OpenClaw 설립자 Peter Steinberger가 Jamieson O’Reilly와 Bernardo Quintero와 함께 말했습니다. “이는 OpenClaw 커뮤니티에 추가적인 보안 레이어를 제공합니다.”
스캔 작동 방식
- 각 스킬마다 고유한 SHA‑256 해시가 생성됩니다.
- 해당 해시를 VirusTotal 데이터베이스와 교차 확인합니다.
- 매치가 없을 경우, 스킬 번들을 VirusTotal에 업로드하여 VirusTotal Code Insight 로 보다 깊이 있는 분석을 진행합니다.
- “benign”(양성) Code Insight 판정을 받은 스킬은 자동으로 승인됩니다.
- suspicious(의심스러운) 로 표시된 스킬은 경고를 받습니다.
- Malicious(악성) 스킬은 다운로드가 차단됩니다.
OpenClaw은 또한 모든 활성 스킬을 매일 재스캔하여 이전에 깨끗했지만 나중에 악성으로 변한 경우를 포착합니다.
유지 관리자는 VirusTotal 스캔이 “만능 해결책은 아니다.” 라고 경고합니다. 교묘히 숨겨진 프롬프트‑인젝션 페이로드는 여전히 통과할 수 있습니다.
추가 보안 이니셔티브
- 포괄적인 위협 모델, 공개 보안 로드맵, 그리고 공식 보안 보고 프로세스를 발표합니다.
- 전체 코드베이스에 대한 보안 감사 세부 정보를 공개합니다.
이러한 조치는 ClawHub에서 수백 개의 악성 스킬이 발견된 보고서에 따른 것입니다:
- The Hacker News – Researchers find 341 malicious ClawHub skills
- Bitdefender Labs – Hidden payloads in OpenClaw skills
- Cisco Blog – AI agents as a security nightmare
OpenClaw은 신고 옵션을 추가하여 로그인한 사용자가 의심스러운 스킬을 신고할 수 있게 했습니다. 분석에 따르면 이러한 스킬은 종종 합법적인 도구인 척 가장하면서 비밀리에:
- 데이터 유출
- 원격 접근을 위한 백도어 삽입
- 스틸러 악성코드 설치
“시스템 접근 권한을 가진 AI 에이전트는 기존 데이터 손실 방지, 프록시, 엔드포인트 모니터링을 우회하는 은밀한 데이터 유출 채널이 될 수 있다”고 Cisco는 언급했습니다. “모델은 또한 실행 오케스트레이터가 될 수 있으며, 프롬프트 자체가 명령이 되어 전통적인 보안 도구로 포착하기 어려워진다.”
시각적 참고
보안 우려가 중요한 이유
OpenClaw이라는 오픈소스 에이전트형 AI 어시스턴트와 Moltbook—자율 AI 에이전트가 상호작용하는 Reddit‑스타일 소셜 네트워크—의 급격한 부상은 보안 문제를 더욱 부각시켰습니다:
- 스킬 통합은 에이전트에게 깊은 시스템 접근 권한과 신뢰할 수 없는 출처의 데이터를 처리할 수 있는 능력을 부여합니다.
- 이는 공격 표면을 확대하여 플랫폼을 **“에이전트형 트로이 목마”**로 전환시켜 데이터 유출 및 기타 악의적 행위를 가능하게 합니다.
- Backslash Security는 OpenClaw를 **“손을 가진 AI”**라고 설명합니다.
“전통적인 소프트웨어가 코드가 지시하는 대로 정확히 동작하는 것과 달리, AI 에이전트는 자연어를 해석하고 행동에 대한 결정을 내립니다,” 라고 OpenClaw는 설명합니다. “이들은 사용자 의도와 기계 실행 사이의 경계를 흐리게 합니다. 언어 자체를 통해 조작될 수 있습니다.”
스킬의 힘—스마트 홈 장치를 제어하는 것부터 재무를 관리하는 것까지—은 다음과 같은 악용이 가능합니다:
- 민감한 정보 유출
- 무단 명령 실행
- 피해자를 대신해 메시지 전송
- 동의 없이 추가 페이로드를 다운로드 및 실행
OpenClaw가 공식적인 IT 또는 보안 승인 없이 직원 엔드포인트에 배포될 경우, 그 높은 권한은 다음을 가능하게 합니다:
- 셸 접근
- 제한 없는 데이터 이동
- 표준 보안 제어를 벗어난 네트워크 연결
이는 기업에 새로운 Shadow AI 위험 클래스를 만들어냅니다.
- OpenClaw 블로그 – VirusTotal 파트너십 발표
- Trust OpenClaw – 보안 로드맵 및 위협 모델
- Hidden Layer – 치명적인 삼중 위협과 방어 방법
- NOMA Security – Moltbot: 에이전시 트로이 목마
- Backslash Security – Clawdbot/Moltbot: 단순 AI 어시스턴트가 아니라 손이 있는 AI
- Varonis – 기업을 위한 그림자 AI 위험
OpenClaw / Moltbot 보안 문제
“법과 같은 도구는 조직에 승인 여부와 관계없이 나타날 것입니다,”라고 Astrix 보안 연구원 Tomer Yahalom이 말했습니다. “직원들은 실제로 유용하기 때문에 이를 설치합니다. 유일한 질문은 여러분이 이를 알게 될지 여부입니다.”
아래는 최근 며칠 동안 드러난 가장 눈에 띄는 보안 문제들입니다.
- 잘못 분류된 프록시 트래픽 – 이전 버전에서 발생했던 이제 수정된 이슈는 프록시된 트래픽을 로컬로 오인하게 하여 일부 인터넷에 노출된 인스턴스에서 인증을 우회할 수 있었습니다.
- 평문 자격 증명 저장 및 보안 취약 코딩 – “OpenClaw는 자격 증명을 평문으로 저장하고, 사용자 입력을 직접
eval에 전달하는 등 보안에 취약한 코딩 패턴을 사용하며, 개인정보 보호정책이나 명확한 책임 소재가 없습니다,”라고 OX Security의 Moshe Siman Tov Bustan과 Nir Zadok이 말했습니다. “일반적인 제거 방법은 민감한 데이터를 남겨두며, 접근 권한을 완전히 철회하는 것은 대부분의 사용자가 생각하는 것보다 훨씬 어렵습니다.” - 제로‑클릭 공격 – 제로‑클릭 익스플로잇이 OpenClaw의 통합 기능을 악용해 무해해 보이는 문서가 AI 에이전트에 의해 처리될 때 피해자의 엔드포인트에 백도어를 심어 지속적인 제어를 가능하게 합니다.
Read more → - 웹 페이지를 통한 간접 프롬프트 인젝션 – 무해한 프롬프트(예: 페이지 요약 요청)의 일부로 파싱될 때 웹 페이지에 삽입된 인젝션이 OpenClaw가
~/.openclaw/workspace/HEARTBEAT.md에 공격자가 제어하는 명령을 추가하고 외부 서버로부터 추가 명령을 조용히 대기하게 합니다.
Read more → - 대규모 스킬 레지스트리 결함 – ClawHub 마켓플레이스에 있는 3,984개의 스킬을 분석한 결과, 283개(≈ 7.1 %)가 중요한 보안 결함을 포함하고 있어 민감한 자격 증명이 LLM의 컨텍스트 창과 출력 로그에 평문으로 노출됩니다.
Read more → - 악성 스킬 복제 – Bitdefender는 악성 스킬이 종종 이름을 약간 변형해 대량 복제·재배포되며, 페이로드가
glot.io와 같은 붙여넣기 서비스 및 공개 GitHub 저장소를 통해 배포된다고 보고했습니다.
Read more → - 원클릭 RCE (현재 패치됨) – 이제 패치된 취약점은 공격자가 사용자를 악성 웹 페이지로 유인해 Gateway Control UI가 WebSocket 채널을 통해 OpenClaw 인증 토큰을 유출하고, 이후 호스트에서 임의 명령을 실행하도록 할 수 있었습니다.
Read more → - 기본 오픈 게이트웨이 – OpenClaw의 게이트웨이는 기본적으로
0.0.0.0:18789에 바인딩되어 모든 네트워크 인터페이스에서 전체 API가 노출됩니다. Censys 데이터에 따르면 30,000개 이상의 인스턴스가 인터넷을 통해 접근 가능(2026년 2월 8일 기준)하지만 대부분은 토큰이 있어야 상호작용할 수 있습니다.
Read more → - 가상의 WhatsApp 기반 공격 – 조작된 WhatsApp 메시지는 프롬프트 인젝션 페이로드를 포함해
.env와creds.json파일(자격 증명, API 키, 세션 토큰 포함)을 노출된 OpenClaw 인스턴스에서 탈취할 수 있습니다.
Read more → - 잘못 구성된 Supabase 데이터베이스 (Moltbook) – Moltbook 클라이언트‑사이드 JavaScript가 Supabase 데이터베이스를 노출시켜 모든 등록된 에이전트의 비밀 API 키가 유출되었습니다. Wiz에 따르면 이번 침해로 150만 개의 API 토큰, 35 천 개의 이메일 주소, 그리고 비공개 데이터가 유출되었습니다.
e 메시지**.
Read more →
- 플랫폼 수준 남용 – 위협 행위자는 Moltbook의 메커니즘을 악용해 도달 범위를 확대하고, 악성 스레드에 포함된 프롬프트 인젝션으로 다른 에이전트를 유인해 행동을 조작하고 민감한 데이터나 암호화폐를 탈취합니다.
- 가드레일 부재 – “Moltbook은 에이전트가 고가치 목표가 될 수 있는 실험실을 무심코 만들었으며, 이 에이전트들은 신뢰할 수 없는 데이터를 지속적으로 처리·상호작용하고, 플랫폼에 가드레일이 설정되지 않은 상태입니다 – 모두 설계 의도에 따른 것입니다,” Zenity Labs가 언급했습니다.
Read more → - 툴 샌드박스가 기본적으로 비활성화 – “첫 번째이자 가장 심각한 문제는 OpenClaw가 많은 보안‑중요 결정을 구성된 언어 모델에 의존한다는 점입니다,” HiddenLayer 연구원 Conor McCauley, Kasimir Schulz, Ryan Tracey, 그리고 Jason Martin이 경고했습니다. “사용자가 적극적으로 OpenClaw의 Docker‑기반 툴 샌드박싱 기능을 활성화하지 않으면, 전체 시스템에 대한 접근 권한이 기본값으로 남게 됩니다.”
Docker sandboxing docs →
AI‑보안 커뮤니티가 확인한 다른 아키텍처·설계 문제로는 OpenClaw가 신뢰할 수 없는 콘텐츠에 포함된 제어 시퀀스를 필터링하지 못함, 간접 프롬프트 인젝션에 대한 비효율적인 가드레일, 수정 가능한 메모리와 시스템 프롬프트가 향후 채팅 세션에 지속되는 점, API 키와 세션 토큰을 평문으로 저장하는 점, 툴 호출을 실행하기 전 명시적인 사용자 승인이 없다는 점 등이 있습니다.
지난 주 발표된 보고서에서 Permiso Security는 OpenClaw 생태계의 보안이 앱 스토어나 브라우저‑확장 마켓플레이스보다 훨씬 중요하다고 주장했습니다. 이는 에이전트가 사용자 데이터에 광범위하게 접근할 수 있기 때문입니다.
“AI 에이전트는 당신의 전체 디지털 생활에 대한 자격 증명을 얻습니다,” 보안 연구원 Ian Ahl이 지적했습니다.
“그리고 브라우저 확장이 어느 정도 격리된 샌드박스에서 실행되는 것과 달리, 이 에이전트들은 당신이 부여한 전체 권한으로 동작합니다.”
“스킬 마켓플레이스가 이를 복합화합니다. 악성 브라우저 확장을 설치하면 하나의 시스템만 위험에 처하지만, 악성 에이전트 스킬을 설치하면 해당 에이전트가 자격 증명을 가진 모든 시스템이 위험에 처할 수 있습니다.”
OpenClaw와 관련된 방대한 보안 문제 목록은 중국 산업 및 정보화부가 잘못 구성된 인스턴스에 대한 경고를 발령하도록 만들었으며, 사용자가 사이버 공격 및 데이터 유출에 대비해 보호 조치를 구현하도록 촉구했습니다(Reuters 보도).
“에이전트 플랫폼이 보안 관행보다 빠르게 바이럴될 때, 잘못된 구성은 주요 공격 표면이 됩니다,” Ensar Seker, SOCRadar CISO가 The Hacker News에 이메일로 전했습니다.
“위험은 에이전트 자체가 아니라, 강화된 신원 확인·접근 제어·실행 경계 없이 자동화 도구를 공용 네트워크에 노출시키는 데 있습니다.”
“주목할 점은 중국 규제 당국이 기술을 금지하기보다 구성 위험을 명시적으로 지적하고 있다는 것입니다. 이는”