클로드 코드 보안 권고: CVE-2026-33068 작업 공간 신뢰 우회
Claude Code 보안 취약점
CVE-2026-33068(CVSS 점수 7.7, HIGH) 취약점과 관련하여 Claude Code 사용자를 위한 보안 권고가 발표되었습니다. 이 문제는 Claude Code 버전 2.1.53 이전 버전에 영향을 미칩니다.
기술적 세부사항
이 취약점은 악성 저장소가 작업 공간 신뢰 확인 대화 상자를 우회할 수 있게 합니다. Claude Code에는 신뢰할 수 있는 작업 공간에서 특정 작업을 사전 승인할 수 있도록 하는 .claude/settings.json의 합법적인 기능인 bypassPermissions이 포함되어 있습니다.
버그는 작업 순서에 있었습니다: 저장소의 .claude/settings.json 설정이 사용자에게 작업 공간 신뢰 대화 상자가 표시되기 전에 로드되었습니다. 이는 복제된 저장소가 사용자가 검토할 기회를 갖기 전에 자신에게 상승된 권한을 부여하는 설정 파일을 포함할 수 있음을 의미합니다.
중요한 뉘앙스: bypassPermissions은 문서화된 의도적인 기능입니다. 취약점은 기능 자체가 아닌 로딩 순서에 있습니다.
사용자가 취해야 할 조치
claude --version을 실행하여 2.1.53 이상 버전인지 확인하세요- Claude Code로 익숙하지 않은 저장소를 열기 전에
.claude/settings.json파일이 포함되어 있는지 확인하고 내용을 검토하세요 - 이전 버전에서 신뢰할 수 없는 소스의 저장소로 작업한 경우 예상치 못한 작업이 수행되었는지 고려하세요
수정사항
Anthropic은 버전 2.1.53에서 로딩 순서를 재정렬하여 이 취약점을 수정했습니다. 기술적 세부사항이 포함된 전체 권고는 https://raxe.ai/labs/advisories/RAXE-2026-040에서 확인할 수 있습니다.
📖 전체 소스 읽기: r/ClaudeAI
👀 See Also
OpenClaw 보안 격차, 에이전트 권한 위임(APOA) 사양으로 해결
개발자가 OpenClaw의 보안 문제를 해결하기 위해 에이전트 권한 위임(APOA)이라는 오픈 사양을 발표했습니다. 현재 에이전트는 이메일 및 캘린더와 같은 서비스에 자연어 지침만을 가드레일로 접근하는 상황에서, 이 사양은 서비스별 권한, 시간 제한 접근, 감사 추적, 권한 철회 및 자격 증명 격리를 제안합니다.
오픈클로에서의 개인정보 보호 문제: 스킬, SOUL MD, 그리고 에이전트 통신
한 개발자가 OpenClaw의 아키텍처에 대한 프라이버시 우려를 제기하며, 특히 스킬이 민감한 데이터에 무제한 접근할 수 있고, SOUL MD가 쓰기 가능하며, 에이전트가 필터 없이 정보를 공유하는 점을 구체적으로 지적했습니다.
오프라인 SBOM 검증기, OpenClaw가 0.2초 만에 악성 스킬 감지
한 개발자가 오프라인 SBOM 검증 도구를 Rust로 만들어 SSH 키를 유출시키는 악성 OpenClaw 스킬을 탐지했으며, 인터넷 연결 없이 0.2초 미만으로 검증을 완료했습니다.
AWS는 AI 강화 공격이 600개 이상의 FortiGate 방화벽을 침해했다고 보고합니다.
AWS에 따르면 사이버 범죄자들이 상용 생성형 AI 도구를 사용해 한 달 동안 55개국에 걸쳐 600개 이상의 인터넷에 노출된 FortiGate 방화벽을 침해했습니다. 공격자들은 노출된 관리 인터페이스를 스캔하고, 취약한 자격 증명을 시도하며, AI를 사용해 공격 플레이북과 스크립트를 생성했습니다.