클로드 코드 보안 권고: CVE-2026-33068 작업 공간 신뢰 우회

✍️ OpenClawRadar📅 게시일: March 20, 2026🔗 Source
클로드 코드 보안 권고: CVE-2026-33068 작업 공간 신뢰 우회
Ad

Claude Code 보안 취약점

CVE-2026-33068(CVSS 점수 7.7, HIGH) 취약점과 관련하여 Claude Code 사용자를 위한 보안 권고가 발표되었습니다. 이 문제는 Claude Code 버전 2.1.53 이전 버전에 영향을 미칩니다.

기술적 세부사항

이 취약점은 악성 저장소가 작업 공간 신뢰 확인 대화 상자를 우회할 수 있게 합니다. Claude Code에는 신뢰할 수 있는 작업 공간에서 특정 작업을 사전 승인할 수 있도록 하는 .claude/settings.json의 합법적인 기능인 bypassPermissions이 포함되어 있습니다.

버그는 작업 순서에 있었습니다: 저장소의 .claude/settings.json 설정이 사용자에게 작업 공간 신뢰 대화 상자가 표시되기 전에 로드되었습니다. 이는 복제된 저장소가 사용자가 검토할 기회를 갖기 전에 자신에게 상승된 권한을 부여하는 설정 파일을 포함할 수 있음을 의미합니다.

중요한 뉘앙스: bypassPermissions은 문서화된 의도적인 기능입니다. 취약점은 기능 자체가 아닌 로딩 순서에 있습니다.

사용자가 취해야 할 조치

  • claude --version을 실행하여 2.1.53 이상 버전인지 확인하세요
  • Claude Code로 익숙하지 않은 저장소를 열기 전에 .claude/settings.json 파일이 포함되어 있는지 확인하고 내용을 검토하세요
  • 이전 버전에서 신뢰할 수 없는 소스의 저장소로 작업한 경우 예상치 못한 작업이 수행되었는지 고려하세요

수정사항

Anthropic은 버전 2.1.53에서 로딩 순서를 재정렬하여 이 취약점을 수정했습니다. 기술적 세부사항이 포함된 전체 권고는 https://raxe.ai/labs/advisories/RAXE-2026-040에서 확인할 수 있습니다.

📖 전체 소스 읽기: r/ClaudeAI

Ad

👀 See Also

클로의 규칙: 오픈클로 에이전트를 위한 오픈소스 보안 규칙 세트
Security

클로의 규칙: 오픈클로 에이전트를 위한 오픈소스 보안 규칙 세트

139개의 보안 규칙을 포함한 오픈 소스 JSON 규칙 세트로, 파괴적인 명령을 차단하고, 자격 증명 파일을 보호하며, 허가되지 않은 에이전트 편집으로부터 지시 파일을 보호합니다. 도구 계층에서 정규 표현식 패턴을 사용하여 LLM 의존성 없이 작동합니다.

OpenClawRadar
AI 에이전트 보안 분석, 신뢰 모델 결함과 높은 취약성 비율 드러나
Security

AI 에이전트 보안 분석, 신뢰 모델 결함과 높은 취약성 비율 드러나

AI 에이전트에 대한 보안 분석 결과, 근본적인 신뢰 모델이 무너졌음을 보여줍니다. MCP 패키지의 49%에서 보안 문제가 발견되었으며, 간접 주입 공격은 최신 모델에서 36-98%의 공격 성공률을 달성했습니다.

OpenClawRadar
OpenClaw, /pair 승인 경로에서 중요한 권한 상승 취약점 패치
Security

OpenClaw, /pair 승인 경로에서 중요한 권한 상승 취약점 패치

OpenClaw 2026.3.28은 중요한 보안 취약점(GHSA-hc5h-pmr3-3497)을 수정했습니다. 이 취약점은 /pair approve 명령어가 페어링 권한을 가진 사용자가 관리자 접근을 포함한 더 넓은 범위의 디바이스 요청을 승인할 수 있도록 허용하는 문제였습니다. 영향을 받는 버전은 <= 2026.3.24입니다.

OpenClawRadar
MCP 샌드박스: 신뢰하지 않는 MCP 서버를 격리된 컨테이너에서 실행하기
Security

MCP 샌드박스: 신뢰하지 않는 MCP 서버를 격리된 컨테이너에서 실행하기

한 개발자가 MCP 서버를 격리된 gVisor 컨테이너에서 실행하며 기본 차단 네트워크 접근과 안전한 비밀 정보 주입을 제공하고, 실행 전 CVE 스캔 및 패턴 검사를 수행하는 MCP 샌드박스를 구축했습니다.

OpenClawRadar