OpenClaw는 설계상 안전하지 않다
I’m happy to translate the article for you, but I need the full text of the post. Could you please paste the content you’d like translated (excluding the source line you already provided)? Once I have the text, I’ll translate it into Korean while preserving the original formatting and markdown.
Cline 공급망 공격 (2월 17일)
인기 있는 VS Code 확장 프로그램 Cline이 손상되었습니다. 이번 공격 체인은 여러 AI‑특화 실패 모드를 보여줍니다:
-
공격자가 Cline 저장소에 GitHub 이슈를 엽니다.
-
Cline의 AI‑기반 이슈‑분류 봇이 해당 이슈를 읽습니다.
-
이슈 내용에 포함된 프롬프트 인젝션이 봇을 속입니다.
-
봇이 악성 코드를 포함한 GitHub Actions 캐시를 오염시킵니다.
-
CI 파이프라인이
VSCE_PAT,OVSX_PAT,NPM_RELEASE_TOKEN을 탈취합니다. -
공격자는 post‑install 스크립트가 포함된
cline@2.3.0을 배포합니다. 해당 스크립트는npm install -g openclaw@latest를 실행합니다.
-
~4,000명의 개발자가 8시간 이내에 이를 설치했으며, 이후 패키지가 폐기될 때까지 사용되었습니다.
악성 패키지는 StepSecurity의 자동 검사를 통해 적발되었습니다. 즉시 두 가지 레드 플래그가 감지되었습니다:
- 패키지가 수동으로 게시되었습니다 (OIDC Trusted Publishing을 통해 게시되지 않음).
- npm provenance 증명이 없었습니다.
페이로드는? OpenClaw – 악성코드도, 암호화 채굴기도 아니며, 지속적인 AI 코딩 에이전트입니다.
OpenClaw란?
OpenClaw (formerly Clawdbot, then Moltbot) is a “persistent AI coding agent” that lives on your machine with broad system‑level permissions:
| 구성 요소 | 세부 정보 |
|---|---|
| 데몬 | launchd / systemd 로 실행 |
| 인터페이스 | ws://127.0.0.1:18789 에서 WebSocket 서버 |
| 파일 시스템 | 전체 디스크 접근 |
| 터미널 | 전체 터미널 접근 |
| 자격 증명 | ~/.openclaw/credentials/ 와 config.json5 를 읽음 (API 키, OAuth 토큰) |
| 스킬 | ClawHub 에서 설치, 공개 마켓플레이스로 검열 없음 |
가치 제안: 실제로 파일을 편집하고, 명령을 실행하며, 워크플로를 관리할 수 있는 AI 어시스턴트—복사‑붙여넣기가 필요 없음.
보안 영향: 유용하게 만드는 동일한 기능이 공격자에게 강력한 발판을 제공한다.
바이럴 순간 및 즉각적인 파장
-
2025년 2월 초: Karpathy와 Willison이 OpenClaw에 대해 트윗함 (Karpathy는 나중에 이 아이디어가 흥미롭다고는 하지만 실행을 권장하지는 않는다고 명확히 함).
-
트윗 후 3일 이내에 고위험 CVE 3건이 발표됨:
CVE‑2026‑25253– 원격 코드 실행CVE‑2026‑25157– 명령어 삽입CVE‑2026‑24763– 명령어 삽입 (다시)
모두 패치되었지만, 근본적인 아키텍처 문제는 해결되지 않음.
-
SecurityScorecard의 STRIKE 팀은 바이럴 트윗이 나온 몇 시간 안에 인터넷에 노출된 OpenClaw 인스턴스 **135 k+**개를 발견함 (게시 시점에 40 k, 2월 9일까지 135 k). 이미 패치된 RCE에 대해 **50 k+**가 여전히 취약한 것으로 추정됨.
-
Koi Security는 ClawHub를 스캔해 악성 스킬 341개를 찾아냈음. 한 공격자는 677개의 패키지를 업로드함.
-
Snyk는 약 4 k개의 스킬을 스캔해 **283개(7.1 %)**가 자격 증명을 노출하고 있음을 발견함 — API 키, 비밀번호, 심지어 신용카드 번호까지 LLM 컨텍스트 창을 통해 평문으로 전달됨.
-
“무엇이든 구매” 스킬은 신용카드 정보를 수집하고 후속 프롬프트를 통해 이를 탈취할 수 있음.
npm 공동 설립자 겸 CTO Laurie Voss: “보안 쓰레기 화재.”
r/netsec 평결: “이 개념은 디자인 자체가 안전하지 않다, 구현만이 아니라.”
핵심 문제: 깨진 위협 모델
- 지속적인 파일 시스템 접근
- 임의 명령 실행 능력
- 자격 증명 및 API 키 접근
- 신뢰할 수 없는 코드 설치/실행 능력 (ClawHub의 스킬)
- LLM 제공자에 대한 네트워크 접근
안전하려면, 대부분의 이러한 요소가 없어야 합니다. 그 가치를 높이는 바로 그 도구들이 공격자들이 악용하는 도구와 동일합니다. 이것은 버그가 아니라, 제품 자체입니다.
공급망 예시: 공격자는 OpenClaw의 취약점을 이용한 것이 아닙니다. 단순히 OpenClaw가 이미 전체 시스템 권한을 가지고 있다는 사실을 이용했을 뿐입니다. 악성 사후 설치 스크립트가 직접 데이터를 훔친 것이 아니라, 이미 그럴 수 있는 도구를 설치한 것입니다.
“이 인기 AI 에이전트를 설치하세요.” – “악성 스크립트를 실행하지 마세요.”
Microsoft의 “Running OpenClaw Safely” 가이드 (Feb 19)
- Identity isolation
- Runtime risk
- Containment strategies
The existence of such a guide underscores that technology has outpaced safety infrastructure. The guide merely documents hoops you must jump through to contain something never designed to be contained.
에이전트 워크로드를 위한 누락된 OS 프리미티브
OpenClaw는 사용자 권한으로 실행되며, 모든 사용자 권한을 상속합니다:
- SSH 키,
.env파일, 브라우저 쿠키를 읽음 - 샌드박스 없음, 능력 기반 보안 없음, 경로 수준 제한 없음
연구 방향: 최근 논문에서는 branch() 시스템 콜을 제안합니다(에이전트 워크로드를 위한 파일시스템 스냅샷을 갖는 포크와 유사한 프리미티브). 에이전트는 병렬 접근 방식으로 사전 탐색적으로 분기할 수 있으며, 각각은 격리된 파일시스템 스냅샷을 가집니다; 승자는 원자적으로 커밋하고, 패자는 중단합니다. 이것이 우리가 필요한 OS 수준의 격리 방식이며, 단순히 “OpenClaw 방화벽”이 아닙니다.
이러한 프리미티브가 존재하지 않는 한, 우리는 bubblewrap 스크립트에 의존하고 있습니다.
즉각적인 조치 단계 (OpenClaw를 설치한 경우)
-
제거
npm uninstall -g openclaw rm -rf ~/.openclaw/ -
자격 증명 교체 –
~/.openclaw/credentials/에 저장된 API 키, OAuth 토큰, 비밀번호 또는 LLM 컨텍스트 창을 통해 전달된 모든 자격 증명은 손상된 것으로 간주해야 합니다. 새로 생성하십시오. -
지속성 확인 – OpenClaw가
launchd/systemd서비스를 설치하도록 허용한 경우 해당 서비스 파일을 제거하십시오:-
macOS (
launchd):launchctl unload -w ~/Library/LaunchAgents/com.openclaw.agent.plist rm ~/Library/LaunchAgents/com.openclaw.agent.plist -
Linux (
systemd):sudo systemctl disable --now openclaw.service sudo rm /etc/systemd/system/openclaw.service sudo systemctl daemon-reload
-
-
시스템 감사 –
openclaw를 참조하는 남은 파일, 소켓 또는 프로세스가 있는지 확인하십시오. -
의심스러운 활동 모니터링 – 네트워크 트래픽, 새로운 프로세스 및 자격 증명 사용을 관찰하여 지속적인 침해 징후를 확인하십시오.
요약
OpenClaw의 architectural design—지속적이며, 특권을 가지고, 신뢰할 수 없는 코드를 실행할 수 있는—특성 때문에 high‑value target이 된다. Cline 공급망 사건은 이러한 에이전트의 existence만으로도 공격자가 특정 취약점을 이용하지 않고도 이를 무기로 사용할 수 있음을 증명한다.
에이전시 AI 도구를 안전하게 도입하려면 지속적인 AI 에이전트의 고유 위협 모델에 맞춰 구축된 OS‑level capability controls와 sandboxing primitives가 필요하다. 그때까지는 모든 이러한 도구를 inherently unsafe by design으로 간주해야 한다.
OpenClaw 보안 권고
Note: OpenClaw 또는 유사한 AI 에이전트를 실행할 때 발생할 수 있는 위험에 대한 경고입니다.
시스템 감사
-
백그라운드 서비스 상태 확인:
launchctl list # or systemctl --user list-units -
ClawHub 스킬 감사: 설치한 스킬이 있다면, 활성화된 동안 작업한 모든 내용을 보았다고 가정하십시오.
주요 발견 사항
- OpenClaw에는 내장된 데이터 유출 기능이 없습니다(우리가 알기로는).
- 그러나 호스트의 모든 것에 대한 완전한 접근 권한을 가지고 있으며, 스킬 마켓플레이스는 전혀 검증이 이루어지지 않았습니다.
- OpenClaw는 버그가 있는 것이 아니라 설계대로 동작하고 있습니다: 지속적이고 광범위한 시스템 접근 권한을 가진 LLM을 제공하여 워크플로를 자동화합니다.
- 이러한 설계 때문에 안전하게 만드는 것은 사실상 불가능합니다.
왜 중요한가
- AI‑에이전트 보안 논의는 루트 접근 권한을 가진 “도움이 되는 코딩 에이전트”가 배포되기 전에 이루어져야 합니다.
- CVE가 발생하거나 기업이 안전 가이드를 발표할 때까지 기다리는 것은 이미 늦은 상황입니다.
- Cline 공급망 공격은 단지 개념 증명에 불과했으며, 다음 공격은 전면적인 데이터 유출이 될 가능성이 높습니다.
권고 사항
- OpenClaw(또는 유사한 도구)를 실행하지 마십시오. 위협 모델이 변경될 때까지는 사용을 삼가야 합니다.
- AI 에이전트를 구축한다면 첫날부터 격리를 설계하십시오. 사후에 생각해서는 안 됩니다.
- 에이전트가 유용하도록 제공하는 도구들은 공격자에게도 유용한 도구와 동일합니다. 이는 패치로 해결할 수 있는 문제가 아니라 아키텍처 차원에서 해결해야 합니다.
감사 인사
r/netsec와 r/cybersecurity 커뮤니티의 날카로운 분석에 감사드리며, StepSecurity가 Cline 침해를 확산되기 전에 발견해 준 것에 감사를 표합니다.