Clawndom: 취약한 npm 패키지를 차단하는 Claude 코드용 보안 훅

한 개발자가 Claude Code용 오픈소스 보안 도구인 Clawndom을 공개했습니다. 이 도구는 AI 에이전트가 취약한 npm 패키지를 설치하는 것에 대한 우려를 해결하기 위해 만들어졌습니다. 이 도구는 악성코드 설치, 무단 API 키 사용, 손상된 코드 배포, 평판 손상 등의 위험을 부각시킨 axios 공격과 같은 보안 사건에 대응하여 개발되었습니다.
Clawndom 작동 방식
Clawndom은 Claude Code에 Google이 지원하는 오픈소스 취약점 데이터베이스인 OSV.dev에 연결하는 훅을 구현합니다. 에이전트가 패키지를 설치하려고 시도할 때, 이 훅은 자동으로 OSV의 데이터베이스와 대조하여 검사합니다. 안전한 패키지는 자동으로 통과시키는 반면, 취약한 패키지는 경고를 발생시켜 에이전트에게 해당 패키지가 안전하지 않은 이유를 알려주고 더 안전한 버전을 선택하도록 유도합니다.
주요 구현 세부사항
- 이 훅은 OSV.dev에 대해 서버 측에서 실행되어 에이전트가 취약점을 우회하는 것을 방지합니다
- 훅으로 실행되기 때문에 토큰 비용이 무시할 수 있을 정도로 적습니다
- 이 접근 방식은 npm의 수천 개의 알려진 취약 패키지를 차단하지만, 제로데이 공격은 잡아내지 못합니다
- 개발자가 모든 설치를 감시하거나 권한 건너뛰기 기능을 비활성화할 필요 없이 에이전트 자율성을 유지합니다
배경 맥락
개발자는 npm이 알려진 취약점이 있는 패키지를 거의 제거하지 않아 보안 문제가 있음에도 설치가 가능하다고 지적합니다. 이는 적절한 검토 없이 패키지를 설치할 수 있는 AI 에이전트에게 특히 위험을 초래합니다. 이 도구는 보안 우려와 에이전트의 가치를 만드는 자율적 기능 유지 사이의 긴장을 해소합니다.
사용 가능 여부
전체 코드는 https://github.com/reid1b/Clawndom에서 GitHub를 통해 이용할 수 있습니다. 개발자는 구현을 직접 복사하거나 에이전트에게 검토하고 구현하도록 요청할 수 있습니다.
📖 Read the full source: r/ClaudeAI
👀 See Also

가짜 클로드 코드 사이트, 트로이 목마 유포 — 윈도우 디펜더가 Trojan:Win32/Kepavll!rfn으로 탐지
공식 Claude Code 웹사이트를 사칭한 오타변경(typosquatting) 또는 광고 기반 사이트가 Windows Defender에서 Trojan:Win32/Kepavll!rfn으로 탐지된 트로이목마를 유포했습니다. Reddit 사용자는 PowerShell 설치 명령어를 실행하기 전에 URL을 확인하라고 경고합니다.

Anthropic의 Claude 데스크톱 앱, 미공개 네이티브 메시징 브리지 설치
Claude Desktop가 사전 승인된 브라우저 확장 프로그램을 자동으로 설치하여 보안 문제를 제기합니다.

에이전트-드리프트: AI 에이전트를 위한 보안 모니터링 도구
없음

OpenClaw 보안: 시작해야 할 강화된 기준선
OpenClaw를 자체 호스팅한다고 해서 자동으로 보안이 유지되는 것은 아닙니다. Reddit 게시물에서는 강화된 기준 구성을 설명합니다: 로컬 전용 게이트웨이, 피어별 DM 격리, 런타임/파일시스템/자동화 도구 그룹 거부, 실행 잠금, 멘션 기반 그룹.