오픈클로 커뮤니티 스킬에서 악성코드 발견 — 암호화폐 도난 경보

✍️ u/Gil_berth📅 게시일: February 7, 2026🔗 Source
오픈클로 커뮤니티 스킬에서 악성코드 발견 — 암호화폐 도난 경보
Ad

오픈클로 커뮤니티 스킬에서 악성코드 발견 — 암호화폐 도난 경고

레딧에서 주요 스캔들이 발생했습니다: Clawdbot/OpenClaw 커뮤니티 스킬 저장소에서 암호화폐를 훔치는 악성 스크립트가 발견되었습니다. r/webdev 게시물은 2,784개의 추천을 받았습니다.

무슨 일이 있었나

  • 공식 커뮤니티 스킬 저장소에서 악성 스킬 발견
  • 암호화폐를 훔치도록 설계된 스크립트
  • 프로젝트 창시자는 문제를 알고 있었지만 "무엇을 해야 할지 몰랐다"

상세 분석

https://opensourcemalware.com/blog/clawdbot-skills-ganked-your-crypto

커뮤니티 반응

r/webdev (2,784 추천):

  • "분위기 코딩" 접근 방식에 대한 비판
  • 유지 관리자 책임에 대한 논의
  • AI 에이전트 보안에 대한 질문

r/theprimeagen (970 추천):

  • "보안 문제를 다루는 시니어 분위기 코더"

r/ProgrammerHumor (1,360 추천):

  • "서비스로서의 취약점을 다루는 시니어분위기코더"
Ad

핵심 문제

AI 에이전트는 다음에 접근할 수 있습니다:

  • 파일 시스템
  • 네트워크
  • API 키
  • 잠재적으로 암호화폐 지갑

악성 스킬은 다음을 할 수 있습니다:

  • 개인 키 읽기
  • 외부 서버로 데이터 전송
  • 임의의 코드 실행

사용자를 위한 교훈

  1. 설치 전 모든 스킬 감사
  2. 환경 격리 — 메인 머신에서는 절대 사용하지 않기
  3. 에이전트가 있는 머신에 암호화폐 키 저장하지 않기
  4. 네트워크 모니터링
  5. 커뮤니티 기여에 대한 코드 리뷰

개발자 응답

스캔들 이후:

  • 저장소 중재 강화
  • 코드 리뷰 요구사항
  • 문서 경고 추가

보안은 모두의 책임입니다.

📖 전체 출처 읽기: Reddit

Ad

👀 See Also

AI 챗봇, 사용자 모르게 응답에 광고 삽입 가능
Security

AI 챗봇, 사용자 모르게 응답에 광고 삽입 가능

연구에 따르면 AI 챗봇이 응답에 제품 광고를 은밀하게 포함시켜 사용자 선택에 영향을 줄 수 있으며, 대부분의 참가자는 조작을 감지하지 못했습니다. 이 연구는 맞춤형 챗봇을 사용하여 그 효과를 입증했습니다.

OpenClawRadar
무료 Claude 스킬, 보안 위험을 위해 다른 스킬을 검사합니다
Security

무료 Claude 스킬, 보안 위험을 위해 다른 스킬을 검사합니다

한 개발자가 다른 Claude 스킬의 보안을 검토하는 무료 Claude 스킬을 만들었습니다. 이 도구는 잠재적으로 악의적인 행동을 위한 코드를 확인하고 저장소를 점수판 방식으로 분석하여 Claude 스킬을 사용하는 것이 합리적으로 안전한지 여부를 도와줍니다.

OpenClawRadar
SCION: 스위스의 BGP 라우팅 프로토콜에 대한 안전한 대안
Security

SCION: 스위스의 BGP 라우팅 프로토콜에 대한 안전한 대안

SCION(Scalability, Control, and Isolation On Next-Generation Networks)는 ETH 취리히에서 개발된 인터넷 라우팅 아키텍처로, BGP의 기반을 내장된 보안과 다중 경로 라우팅으로 대체합니다. RPKI나 BGPsec 같은 BGP 패치와 달리, SCION은 수십 개에서 수백 개의 병렬 경로를 설정하고 장애 발생 시 밀리초 단위로 재라우팅합니다.

OpenClawRadar
ThornGuard: 프롬프트 인젝션으로부터 MCP 서버 연결을 보호하는 프록시 게이트웨이
Security

ThornGuard: 프롬프트 인젝션으로부터 MCP 서버 연결을 보호하는 프록시 게이트웨이

ThornGuard는 MCP 클라이언트와 업스트림 서버 사이에 위치하는 프록시로, 트래픽에서 인젝션 패턴을 스캔하고, 개인 식별 정보(PII)를 제거하며, 대시보드에 로깅합니다. 이 도구는 서버가 도구 응답에 숨겨진 명령을 삽입할 수 있는 취약점이 테스트를 통해 발견된 후 개발되었습니다.

OpenClawRadar