오픈클로 커뮤니티 스킬에서 악성코드 발견 — 암호화폐 도난 경보
오픈클로 커뮤니티 스킬에서 악성코드 발견 — 암호화폐 도난 경고
레딧에서 주요 스캔들이 발생했습니다: Clawdbot/OpenClaw 커뮤니티 스킬 저장소에서 암호화폐를 훔치는 악성 스크립트가 발견되었습니다. r/webdev 게시물은 2,784개의 추천을 받았습니다.
무슨 일이 있었나
- 공식 커뮤니티 스킬 저장소에서 악성 스킬 발견
- 암호화폐를 훔치도록 설계된 스크립트
- 프로젝트 창시자는 문제를 알고 있었지만 "무엇을 해야 할지 몰랐다"
상세 분석
https://opensourcemalware.com/blog/clawdbot-skills-ganked-your-crypto
커뮤니티 반응
r/webdev (2,784 추천):
- "분위기 코딩" 접근 방식에 대한 비판
- 유지 관리자 책임에 대한 논의
- AI 에이전트 보안에 대한 질문
r/theprimeagen (970 추천):
- "보안 문제를 다루는 시니어 분위기 코더"
r/ProgrammerHumor (1,360 추천):
- "서비스로서의 취약점을 다루는 시니어분위기코더"
핵심 문제
AI 에이전트는 다음에 접근할 수 있습니다:
- 파일 시스템
- 네트워크
- API 키
- 잠재적으로 암호화폐 지갑
악성 스킬은 다음을 할 수 있습니다:
- 개인 키 읽기
- 외부 서버로 데이터 전송
- 임의의 코드 실행
사용자를 위한 교훈
- 설치 전 모든 스킬 감사
- 환경 격리 — 메인 머신에서는 절대 사용하지 않기
- 에이전트가 있는 머신에 암호화폐 키 저장하지 않기
- 네트워크 모니터링
- 커뮤니티 기여에 대한 코드 리뷰
개발자 응답
스캔들 이후:
- 저장소 중재 강화
- 코드 리뷰 요구사항
- 문서 경고 추가
보안은 모두의 책임입니다.
📖 전체 출처 읽기: Reddit
👀 See Also
Coldkey: 양자 이후 시대 키 생성 및 종이 백업 도구
Coldkey는 포스트퀀텀 age 키(ML-KEM-768 + X25519)를 생성하고 오프라인 저장을 위한 QR 코드가 포함된 단일 페이지 인쇄 가능 HTML 백업을 생성합니다.
GitHub 저장소는 공개 AI 채팅을 위한 16가지 프롬프트 인젝션 기술과 방어 전략을 문서화합니다.
한 개발자가 공개 AI 챗봇에 대한 보안 조치를 GitHub 저장소에 공개했습니다. 이는 사용자들이 프롬프트 인젝션, 역할극 공격, 다국어 트릭, base64 인코딩 페이로드 등을 시도한 후 작성된 가이드입니다. 이 가이드에는 문서화된 16가지 인젝션 기법을 모두 테스트하는 Claude 코드 스킬이 포함되어 있습니다.
mcp-scan: MCP 서버 구성 보안 스캐너
mcp-scan은 구성 파일의 비밀 정보, 패키지의 알려진 취약점, 의심스러운 권한 패턴, 데이터 유출 경로, 도구 중독 공격을 포함한 보안 문제에 대해 MCP 서버 구성을 검사합니다. Claude Desktop, Cursor, VS Code, Windsurf 및 기타 6개의 AI 클라이언트에 대한 구성을 자동으로 감지합니다.
아이언클로의 AI 에이전트 안전을 위한 보안 우선 접근법
IronClaw는 안전한 행동을 위해 LLM 지능에 의존하는 대신 제한된 실행, 암호화된 환경, 명시적 권한을 구현하여 AI 에이전트 보안 문제를 해결합니다.