OpenClaw은 설계상 안전하지 않다
I’m ready to translate the article for you, but I need the full text you’d like translated. Could you please paste the content (or the portion you want translated) here? I’ll keep the source line, formatting, markdown, and any code blocks exactly as they are while translating the rest into Korean.
Source:
Cline 공급망 공격 (2월 17일)
인기 있는 VS Code 확장 프로그램 Cline이 침해되었습니다. 이번 공격 체인은 여러 AI‑특화 실패 모드를 보여줍니다:
-
공격자가 Cline 저장소에 GitHub 이슈를 엽니다.
-
Cline의 AI 기반 이슈‑트리아지 봇이 해당 이슈를 읽습니다.
-
이슈 내용에 포함된 프롬프트 인젝션이 봇을 속입니다.
-
봇이 악성 코드를 포함한 GitHub Actions 캐시를 오염시킵니다.
-
CI 파이프라인이
VSCE_PAT,OVSX_PAT,NPM_RELEASE_TOKEN을 탈취합니다. -
공격자는 post‑install 스크립트가 포함된
cline@2.3.0을 배포합니다. 해당 스크립트는 다음을 실행합니다npm install -g openclaw@latest -
~4,000명의 개발자가 8시간 이내에 이를 설치했으며, 이후 폐기되었습니다.
악성 패키지는 StepSecurity의 자동 검사에 의해 적발되었습니다. 즉시 두 가지 레드 플래그가 감지되었습니다:
- 패키지가 수동으로 배포되었습니다 (OIDC Trusted Publishing을 사용하지 않음).
- npm provenance 증명이 없었습니다.
페이로드는? OpenClaw – 악성코드도, 암호화 채굴기도 아니며, 지속적인 AI 코딩 에이전트입니다.
OpenClaw란?
OpenClaw (이전 명칭 Clawdbot, 그 후 Moltbot)은 “지속적인 AI 코딩 에이전트” 로, 시스템 수준의 광범위한 권한을 가지고 여러분의 머신에 상주합니다:
| Component | Details |
|---|---|
| Daemon | launchd / systemd를 통해 실행됩니다 |
| Interface | ws://127.0.0.1:18789에서 WebSocket 서버 |
| Filesystem | 전체 디스크 접근 |
| Terminal | 전체 터미널 접근 |
| Credentials | ~/.openclaw/credentials/와 config.json5를 읽음 (API 키, OAuth 토큰) |
| Skills | ClawHub에서 설치, 제로 모더레이션(public marketplace) |
Value proposition: 파일을 실제로 편집하고, 명령을 실행하며, 워크플로우를 관리할 수 있는 AI 어시스턴트—복사‑붙여넣기가 필요 없습니다.
Security implication: 유용하게 만드는 동일한 기능이 공격자에게 강력한 foothold(진입점)를 제공합니다.
바이럴 순간 및 즉각적인 여파
-
2025년 2월 초: Karpathy와 Willison이 OpenClaw에 대해 트윗 (Karpathy는 이후 아이디어가 흥미롭다고는 하지만 실행을 권장하지는 않는다고 정정).
-
3일 이내에 고위험 CVE 3건이 발표됨:
CVE‑2026‑25253– 원격 코드 실행CVE‑2026‑25157– 명령어 주입CVE‑2026‑24763– 명령어 주입 (다시)
모두 패치되었지만, 근본적인 아키텍처 문제는 해결되지 않음.
-
SecurityScorecard의 STRIKE 팀은 바이럴 트윗이 나온 몇 시간 안에 인터넷에 노출된 OpenClaw 인스턴스 **135 k+**개를 발견 (게시 시점에 40 k, 2월 9일까지 135 k). 이미 패치된 RCE에 대해 **50 k+**가 여전히 취약한 것으로 추정됨.
-
Koi Security는 ClawHub를 스캔해 341개의 악성 스킬을 찾음. 한 공격자는 677개의 패키지를 업로드함.
-
Snyk는 약 4 k개의 스킬을 스캔해 **283개 (7.1 %)**가 자격 증명을 노출하고 있음을 발견—API 키, 비밀번호, 심지어 LLM 컨텍스트 창을 통해 평문으로 전달된 신용카드 번호까지.
-
“무엇이든 구매” 스킬은 신용카드 정보를 수집하고 후속 프롬프트를 통해 이를 외부로 유출할 수 있음.
npm 공동 설립자 겸 CTO Laurie Voss: “보안 쓰레기 화재.”
r/netsec 판결: “이 개념은 디자인 자체가 안전하지 않다, 구현만 문제가 아니다.”
Core Problem: A Broken Threat Model
To be useful, OpenClaw needs:
- Persistent filesystem access
- Ability to execute arbitrary commands
- Access to credentials & API keys
- Ability to install/run untrusted code (skills from ClawHub)
- Network access to LLM providers
To be safe, it would need to lack most of those things. The very tools that make it valuable are the same tools attackers exploit. This isn’t a bug; it’s the product.
Supply‑chain example: The attacker didn’t exploit a vulnerability in OpenClaw. They simply leveraged the fact that OpenClaw already has full system permissions. The malicious post‑install script didn’t steal data directly; it installed a tool that already could.
“Install this popular AI agent.” – not “run this malicious script.”
Microsoft의 “Running OpenClaw Safely” 가이드 (Feb 19)
Microsoft는 다음을 다루는 가이드를 발표했습니다:
- 정체성 격리
- 런타임 위험
- 격리 전략
이러한 가이드가 존재한다는 사실은 기술이 안전 인프라를 앞서고 있음을 강조합니다. 이 가이드는 절대로 격리되도록 설계되지 않은 무언가를 억제하기 위해 반드시 거쳐야 할 절차들을 단순히 문서화한 것에 불과합니다.
에이전트 워크로드를 위한 누락된 OS 프리미티브
OpenClaw는 사용자 권한으로 실행되며 모든 사용자 권한을 상속합니다:
- SSH 키,
.env파일, 브라우저 쿠키를 읽음 - 샌드박스 없음, 역량 기반 보안 없음, 경로 수준 제한 없음
연구 방향: 최근 논문에서는 branch() 시스템 콜(파일시스템 스냅샷을 갖는 에이전트 워크로드용 포크와 유사한 프리미티브)을 제안합니다. 에이전트는 각기 격리된 FS 스냅샷을 가진 병렬 접근 방식으로 사전 분기할 수 있으며, 승자는 원자적으로 커밋하고 패자는 중단합니다. 이것이 우리가 필요로 하는 OS 수준 격리 방식이며, 단순히 “OpenClaw 방화벽”을 설치하는 것만으로는 충분하지 않습니다.
이러한 프리미티브가 존재하지 않는 한, 우리는 bubblewrap 스크립트에 의존하고 있습니다.
Source:
즉각적인 조치 단계 (OpenClaw를 설치한 경우)
-
제거
npm uninstall -g openclaw rm -rf ~/.openclaw/ -
자격 증명 교체 –
~/.openclaw/credentials/에 저장된 API 키, OAuth 토큰, 비밀번호 또는 LLM 컨텍스트 창을 통해 전달된 모든 자격 증명은 손상된 것으로 간주해야 합니다. 새로운 자격 증명을 생성하십시오. -
지속성 확인 – OpenClaw가
launchd/systemd서비스를 설치하도록 허용한 경우, 해당 서비스 파일을 제거하십시오:-
macOS (
launchd):launchctl unload -w ~/Library/LaunchAgents/com.openclaw.agent.plist rm ~/Library/LaunchAgents/com.openclaw.agent.plist -
Linux (
systemd):sudo systemctl disable --now openclaw.service sudo rm /etc/systemd/system/openclaw.service sudo systemctl daemon-reload
-
-
시스템 감사 –
openclaw와 관련된 남은 파일, 소켓, 프로세스가 있는지 확인하십시오. -
의심스러운 활동 모니터링 – 네트워크 트래픽, 새로운 프로세스, 자격 증명 사용을 관찰하여 남아 있는 침해 흔적이 있는지 확인하십시오.
Takeaway
OpenClaw의 아키텍처 설계—지속적이며 특권을 가지고 신뢰할 수 없는 코드를 실행할 수 있는 능력—은 고가치 표적이 됩니다. Cline 공급망 사고는 이러한 에이전트가 존재한다는 것만으로도 공격자가 특정 취약점을 이용하지 않고도 이를 무기로 사용할 수 있음을 증명합니다.
에이전트형 AI 도구를 안전하게 도입하려면 OS 수준의 기능 제어와 샌드박스 원시 기능을 지속적인 AI 에이전트의 고유 위협 모델에 맞게 구축해야 합니다. 그때까지는 이러한 도구를 설계상 본질적으로 위험하다고 간주하십시오.
OpenClaw 보안 권고
Note: This is a warning about the risks associated with running OpenClaw or similar AI agents.
시스템 감사
-
백그라운드 서비스 상태 확인:
launchctl list # or systemctl --user list-units -
ClawHub 스킬 감사: 설치한 스킬이 있다면, 해당 스킬이 활성화된 동안 여러분이 작업한 모든 내용을 보았다고 가정하세요.
주요 발견
- OpenClaw에는 내장된 데이터 유출 기능이 없습니다(우리가 알기로는).
- 그러나 호스트의 모든 것에 대한 완전한 접근 권한을 가지고 있으며, 스킬 마켓플레이스는 전혀 검증이 이루어지지 않았습니다.
- OpenClaw는 버그가 있는 것이 아니라 설계대로 동작하고 있습니다: 지속적이고 광범위한 시스템 접근 권한을 LLM에 제공해 워크플로를 자동화하도록 하는 것이 목적입니다.
- 이러한 설계 때문에 안전하게 만드는 것은 사실상 불가능합니다.
왜 이것이 중요한가
- AI 에이전트 보안 논의는 루트 접근 권한을 가진 “도움이 되는 코딩 에이전트”가 배포되기 전에 이루어져야 합니다.
- CVE가 발생하거나 기업이 안전 가이드를 발표할 때까지 기다리는 것은 이미 늦은 상황입니다.
- Cline 공급망 공격은 단지 개념 증명에 불과했으며, 다음 공격은 아마도 대규모 데이터 유출이 될 것입니다.
권고 사항
- OpenClaw(또는 유사한 도구)를 실행하지 마세요. 위협 모델이 바뀔 때까지는 사용을 삼가야 합니다.
- AI 에이전트를 구축한다면 첫날부터 격리 설계를 해야 하며, 사후에 생각해서는 안 됩니다.
- 에이전트에게 유용하게 만들기 위해 제공하는 도구는 공격자에게도 유용한 도구와 동일합니다. 이는 패치로 해결할 수 있는 문제가 아니라 아키텍처 차원에서 해결해야 합니다.
감사
r/netsec와 r/cybersecurity 커뮤니티의 날카로운 분석에 감사드리며, StepSecurity가 Cline 침해를 더 확산되기 전에 발견해 준 것에 감사를 표합니다.