Clawndom: 취약한 npm 패키지를 차단하는 Claude 코드용 보안 훅

한 개발자가 Claude Code용 오픈소스 보안 도구인 Clawndom을 공개했습니다. 이 도구는 AI 에이전트가 취약한 npm 패키지를 설치하는 것에 대한 우려를 해결하기 위해 만들어졌습니다. 이 도구는 악성코드 설치, 무단 API 키 사용, 손상된 코드 배포, 평판 손상 등의 위험을 부각시킨 axios 공격과 같은 보안 사건에 대응하여 개발되었습니다.

Clawndom 작동 방식

Clawndom은 Claude Code에 Google이 지원하는 오픈소스 취약점 데이터베이스인 OSV.dev에 연결하는 훅을 구현합니다. 에이전트가 패키지를 설치하려고 시도할 때, 이 훅은 자동으로 OSV의 데이터베이스와 대조하여 검사합니다. 안전한 패키지는 자동으로 통과시키는 반면, 취약한 패키지는 경고를 발생시켜 에이전트에게 해당 패키지가 안전하지 않은 이유를 알려주고 더 안전한 버전을 선택하도록 유도합니다.

주요 구현 세부사항

• 이 훅은 OSV.dev에 대해 서버 측에서 실행되어 에이전트가 취약점을 우회하는 것을 방지합니다
• 훅으로 실행되기 때문에 토큰 비용이 무시할 수 있을 정도로 적습니다
• 이 접근 방식은 npm의 수천 개의 알려진 취약 패키지를 차단하지만, 제로데이 공격은 잡아내지 못합니다
• 개발자가 모든 설치를 감시하거나 권한 건너뛰기 기능을 비활성화할 필요 없이 에이전트 자율성을 유지합니다

배경 맥락

개발자는 npm이 알려진 취약점이 있는 패키지를 거의 제거하지 않아 보안 문제가 있음에도 설치가 가능하다고 지적합니다. 이는 적절한 검토 없이 패키지를 설치할 수 있는 AI 에이전트에게 특히 위험을 초래합니다. 이 도구는 보안 우려와 에이전트의 가치를 만드는 자율적 기능 유지 사이의 긴장을 해소합니다.

사용 가능 여부

전체 코드는 https://github.com/reid1b/Clawndom에서 GitHub를 통해 이용할 수 있습니다. 개발자는 구현을 직접 복사하거나 에이전트에게 검토하고 구현하도록 요청할 수 있습니다.