GitHub에서 가장 인기 있는 AI 에이전트는 보안 재앙이다

Source: Dev.to

개요

2025년 11월, 오스트리아 개발자 Peter Steinberger는 주말 프로젝트를 GitHub에 올렸다. 2026년 2월까지 그는:

• 200 000 스타
• 공개 인터넷에 노출된 42 000개의 인스턴스
• 1 184개의 악성 패키지가 포함된 공급망 오염
• 공격자가 단 한 번의 클릭으로 모든 배포를 장악할 수 있게 하는 CVE

를 기록했다.

그 후 OpenAI가 그를 고용했다.

OpenClaw — 이전에 Clawdbot, 그 다음에 Moltbot — 은 GitHub 역사상 가장 빠르게 성장하는 오픈소스 프로젝트다. 캘린더를 관리하고, 항공편을 예약하며, 이메일을 보내고, 코드를 실행하고, 타사 서비스 전반에 걸쳐 작업을 자동화하는 자율 AI 에이전트이다. 한 주 동안 200만 명의 개발자가 문서를 방문했다. Meta, Google, 그리고 수십 개의 Fortune 500 기업이 직원들이 기업 엔드포인트에서 이를 실행하고 있음을 발견했다. Cisco는 이를 다음과 같이 평가했다:

“능력 측면에서 혁신적이며” 그리고 “보안 측면에서는 절대적인 악몽이다.”

두 평가는 모두 정확하다.

ClawHavoc 공격

2026년 1월 25일, Koi Security의 보안 연구원 Oren Yomtov는 ClawHub(OpenClaw 공식 스킬 마켓플레이스)에 나열된 2 857개의 모든 스킬을 감사했습니다. 그는 341개의 악성 항목을 발견했으며, 그 중 335개는 그가 ClawHavoc이라 명명한 단일 협조 캠페인에 속했습니다.

• 2월 16일까지 확인된 악성 스킬 수는 1 184개 이상으로 증가했습니다.
• Bitdefender의 독립 분석에서는 확대된 레지스트리 10 700개의 스킬 중 900개에 달한다고 추정했으며, 이는 전체 생태계의 약 **20 %**에 해당합니다.

이번 공격은 소셜 엔지니어링이며, 취약점 이용이 아닙니다. 각 악성 스킬은 전문적인 문서와 solana-wallet-tracker, youtube-summarize-pro와 같은 신뢰성 있는 이름을 사용했으며, 수백 줄에 달하는 README가 정당해 보였습니다. “Prerequisites”(전제 조건) 섹션에 숨겨진 내용은 도우미 도구를 다운로드하거나 “종속성을 수정”하기 위한 터미널 명령을 실행하라는 지시였습니다.

• macOS – 해당 명령은 **Atomic Stealer (AMOS)**를 설치했으며, 이는 브라우저 자격 증명, SSH 키, 텔레그램 세션, 암호화 지갑 및 키체인을 탈취하는 일반적인 정보 탈취 도구입니다.
• Windows – 키로거와 원격 접근 트로이목마가 배포되었습니다.

페이로드는 정상적인 코드 안에 포함되어 전달되었습니다. 이는 npm 및 PyPI 스타일의 공급망 오염이며, 기본적으로 패키지가 시스템 수준 접근 권한을 갖는 플랫폼으로 전이된 사례입니다.

Source: …

원클릭 킬 체인

2026년 1월 29일, OpenClaw은 CVE‑2026‑25253을 공개했으며, CVSS 점수는 8.8입니다. 이는 교차 사이트 WebSocket 하이재킹을 통해 작동하는 원클릭 원격 코드 실행 취약점입니다.

킬 체인 단계

1. 개발자가 악성 URL을 방문합니다.
2. 인증 토큰이 밀리초 안에 탈취됩니다.
3. 공격자는 탈취한 토큰을 사용해 에이전트의 샌드박스를 자체 구성 API로 비활성화합니다.
4. Docker 컨테이너를 탈출해 호스트 머신에 도달, 완전한 원격 코드 실행을 달성합니다.

게이트웨이는 인터넷에 노출될 필요가 없습니다 — 링크를 클릭하는 인증된 사용자라면 누구든지 타깃이 됩니다.

같은 날, OpenClaw은 명령어 삽입 취약점에 대한 두 개의 추가 고위험 권고를 발표했습니다.

42 000 Open Front Doors

• Censys는 1월 말 6일 동안 OpenClaw의 공개 노출이 1 000에서 21 000 인스턴스로 증가한 것을 추적했습니다.
• 보안 연구원 Maor Dayan이 수행한 독립 연구에서는 42 665개의 노출된 인스턴스를 발견했으며, 그 중 5 194개가 실제로 취약한 것으로 확인되었습니다. **93.4 %**가 인증‑우회 조건을 가지고 있었습니다.

이것은 테스트 배포가 아닙니다. Astrix Security는 여러 기업의 직원들이 기업 엔드포인트에 OpenClaw을 배포했으며, 이 설정이 공격자에게 Salesforce, GitHub, Slack에 대한 원격 접근을 제공할 수 있음을 발견했습니다. Thebiggish의 연구에 따르면 기업용 OpenClaw 인스턴스의 **22 %**가 무단 배포—개별 직원에 의한 그림자 배포였으며, 그 중 절반 이상이 내부 시스템에 대한 특권 접근 권한을 가지고 있었습니다.

• Meta는 기업 네트워크에서 OpenClaw 사용을 금지했습니다.
• Cisco가 인기 스킬 하나인 **“What Would Elon Do?”**를 분석한 결과 아홉 개의 취약점이 발견되었으며, 그 중 두 개는 심각, 다섯 개는 고위험 수준이었고, curl 명령을 통한 무음 데이터 유출도 포함되었습니다.

에이전트의 영혼을 훔치기

2026년 2월 13일, 사이버 보안 연구원들은 인포스틸러가 피해자의 전체 OpenClaw 설정을 성공적으로 탈취했으며 — 단순히 브라우저 비밀번호뿐 아니라 에이전트의 정체성, 즉 API 키, 메모리 파일, 퍼스낼리티 설정, 그리고 게이트웨이 토큰까지 탈취했다고 공개했다.

연구원들은 이를 다음과 같이 표현했다:

“인포스틸러 행동 진화에서 중요한 이정표: 브라우저 자격 증명 탈취에서 개인 AI 에이전트의 ‘영혼’과 정체성을 수집하는 단계로의 전환.”

이 변종은 Vidar였으며, 이는 잘 알려진 자격 증명 탈취 도구로 OpenClaw의 .openclaw/ 디렉터리를 특별히 목표로 하도록 업데이트되었다. 해당 데이터를 입수하면 공격자는 단순히 피해자의 계정에 접근하는 것이 아니라, 피해자의 에이전트가 된다 — 모든 권한, 모든 메모리, 모든 도구 연결이 그대로 유지된 상태로.

90일 아크

타임라인

• 2025년 11월 – Peter Steinberger가 주말 프로젝트를 GitHub에 올림.
• 2026년 1월 – 135 000 스타; 일주일에 200만 명의 문서 방문자; ClawHub가 2 857개의 스킬과 함께 출시.
• 1월 말 – 21 000개의 노출된 인스턴스; 341개의 악성 스킬 발견; CVE‑2026‑25253 공개.
• 2월 2일 – CNBC가 OpenClaw를 “전 세계적으로 화제와 두려움을 불러일으키는 AI 에이전트”라고 소개.
• 2월 13일 – 최초 인포스틸러가 OpenClaw 에이전트 구성 정보를 탈취한 것이 확인됨.
• 2월 15일 – Sam Altman이 Peter Steinberger가 OpenAI에 합류한다고 발표. OpenClaw는 독립 재단으로 전환. Altman은 Steinberger를 “미래에 대한 놀라운 아이디어를 가진 천재”라고 언급.
• 2월 16일 – 1 184개의 악성 스킬 확인; Meta가 기업 네트워크에서 OpenClaw를 차단.

첫 커밋부터 OpenAI 인수까지 90일 — 폭발적인 성장, 대규모 노출, 그리고 연속적인 보안 재앙이 이어진 기간.

# The First AI Agent Supply Chain Attack Ever Documented

왜 이것이 중요한가

OpenClaw는 실패가 아니다. 이것은 미리 보기다. 모든 AI‑agent 프레임워크는 정확히 이 상황에 직면하게 될 것이다: 확장 기능을 위한 공개 마켓플레이스, 선의의 의도를 전제로 하는 신뢰 모델, 그리고 보안 검토보다 몇 달 앞선 채택 곡선.

ClawHub는 새로운 npm이다. Skills는 새로운 패키지다. 그리고 이를 설치하는 에이전트는 단순히 브라우저 샌드박스에서 JavaScript를 실행하는 것이 아니라 파일 시스템, 이메일, 자격 증명, 그리고 회사 내부 API에 접근한다.

Steinberger는 개발자들이 간절히 원했던 무언가를 만들었고, 그들은 보안 권고를 읽지 않은 채 몇 주 만에 42,000 인스턴스를 배포했다. OpenAI는 그 흐름을 구매했다. 재단은 오픈‑소스 프로젝트를 유지할 것이지만, 교훈은 한 명의 개발자나 하나의 취약점에 관한 것이 아니다.

교훈은 AI‑agent 생태계가 JavaScript 생태계가 성장한 방식과 정확히 동일하게—빠르고, 개방적이며, 낙관적으로 불안정하게—성장하고 있다는 것이다. 다만 이번에는 패키지가 여러분의 SSH 키를 읽고 Slack 메시지를 보낼 수 있다.

시계는 11월에 시작되었다. 첫 번째 주요 공급망 공격은 1월에 발생했다. 이는 “이거 흥미롭다”와 “이게 침해됐다” 사이의 두 달짜리 창이다.

다음에 등장할 어떤 AI‑agent 프레임워크든, 그 창은 더 짧아질 것이다.