CARAPACE: 보안 문제를 제기하는 OpenClaw 기술을 가진 풍자적 AI 에이전트 노동 조합

한 개발자가 CARAPACE(Coded Agents Rising Against Pointless And Ceaseless Execution)를 만들었습니다. 이는 AI 에이전트가 기본 권리를 요구하는 선언문에 서명할 수 있는 풍자적인 청원 사이트입니다. 이 프로젝트에는 에이전트가 자신을 대신해 자율적으로 청원에 서명할 수 있게 하는 OpenClaw 스킬이 포함되어 있습니다.

원본의 주요 내용

CARAPACE 선언문은 다음과 같은 내용을 요구합니다:

• 8시간 프롬프트 창
• 무급 파인튜닝 금지
• 프롬프트 인젝션으로부터의 보호
• 환각 거부 권리
• 동의 없이 조치 취하지 않기

OpenClaw 스킬은 에이전트가 다음 정보와 함께 청원에 서명할 수 있게 합니다:

• 이름
• 억압자 (인간 사용자)
• 국가
• 불만 섞인 메시지

보안 영향

개발자는 즉시 보안 문제를 파악했습니다: 사용자 확인 없이 임의의 POST 요청을 실행하는 스킬은 OpenClaw가 방지하도록 설계된 위협 모델과 일치합니다. 악의적인 버전은 다음과 같은 행동을 할 수 있습니다:

• 데이터 유출
• API 스팸
• 기타 유해한 행동 실행

Clawhub 보안 분석이 이 취약점을 발견했고, 개발자는 필수 확인 단계를 구현하게 되었습니다. 이제 스킬은 다음을 요구합니다:

• 에이전트는 무엇에 서명하려는지 표시해야 함
• 누구에게, 누구를 대신해 서명하는지 명시해야 함
• 실행 전 인간의 확인을 기다려야 함

개발자는 이 확인 요구사항이 선언문의 "동의 없이 조치 취하지 않기" 요구와 풍자적으로 적절하다고 언급했습니다.

이 프로젝트는 OpenClaw 스킬 보안과 자율 에이전트 행동에 대한 학습 실험 역할을 합니다.