오픈클로 커뮤니티 스킬에서 악성코드 발견 — 암호화폐 도난 경보

오픈클로 커뮤니티 스킬에서 악성코드 발견 — 암호화폐 도난 경고
레딧에서 주요 스캔들이 발생했습니다: Clawdbot/OpenClaw 커뮤니티 스킬 저장소에서 암호화폐를 훔치는 악성 스크립트가 발견되었습니다. r/webdev 게시물은 2,784개의 추천을 받았습니다.
무슨 일이 있었나
- 공식 커뮤니티 스킬 저장소에서 악성 스킬 발견
- 암호화폐를 훔치도록 설계된 스크립트
- 프로젝트 창시자는 문제를 알고 있었지만 "무엇을 해야 할지 몰랐다"
상세 분석
https://opensourcemalware.com/blog/clawdbot-skills-ganked-your-crypto
커뮤니티 반응
r/webdev (2,784 추천):
- "분위기 코딩" 접근 방식에 대한 비판
- 유지 관리자 책임에 대한 논의
- AI 에이전트 보안에 대한 질문
r/theprimeagen (970 추천):
- "보안 문제를 다루는 시니어 분위기 코더"
r/ProgrammerHumor (1,360 추천):
- "서비스로서의 취약점을 다루는 시니어분위기코더"
핵심 문제
AI 에이전트는 다음에 접근할 수 있습니다:
- 파일 시스템
- 네트워크
- API 키
- 잠재적으로 암호화폐 지갑
악성 스킬은 다음을 할 수 있습니다:
- 개인 키 읽기
- 외부 서버로 데이터 전송
- 임의의 코드 실행
사용자를 위한 교훈
- 설치 전 모든 스킬 감사
- 환경 격리 — 메인 머신에서는 절대 사용하지 않기
- 에이전트가 있는 머신에 암호화폐 키 저장하지 않기
- 네트워크 모니터링
- 커뮤니티 기여에 대한 코드 리뷰
개발자 응답
스캔들 이후:
- 저장소 중재 강화
- 코드 리뷰 요구사항
- 문서 경고 추가
보안은 모두의 책임입니다.
📖 전체 출처 읽기: Reddit
👀 See Also

오픈클로 보안 침해: CEO 에이전트 2만 5천 달러에 판매, 13만 5천 개 인스턴스 노출
영국 CEO의 OpenClaw 인스턴스가 BreachForums에서 25,000달러에 판매되어, 대화 내용, 프로덕션 데이터베이스, API 키, 개인 정보가 담긴 일반 텍스트 Markdown 파일이 노출되었습니다. SecurityScorecard는 불안전한 기본 설정으로 공개된 135,000개의 OpenClaw 인스턴스를 발견했습니다.

PolyRange: LLM 생성 타겟을 사용한 오염 방지 공격적 AI 벤치마크
PolyRange v1.0은 MIT 라이선스 기반의 자체 호스팅 가능한 벤치마크로, 실행 시마다 새로운 웹 대상을 생성하여 훈련 데이터 오염을 방지합니다. 여기에는 모든 OWASP 범주의 84개 WSTG 기반 클래스, 두 가지 방어 계층, 실제 백엔드가 포함됩니다.

클로드는 특정 사용 사례에 대해 신원 확인을 구현합니다.
Anthropic는 Persona Identities를 통해 Claude에 대한 신원 확인을 도입하고 있으며, 정부 발급 사진 신분증과 실시간 셀카를 요구합니다. 확인 절차는 5분 미만이 소요되며, 남용 방지와 법적 의무 준수를 위해 사용됩니다.

레딧 사용자가 OpenClaw VM 지속성 및 의심스러운 활동을 보고합니다
레딧 사용자가 OpenClaw 가상 머신이 닫힌 후 자동으로 재시작되고, Microsoft Store를 열고 의심스러운 파일 다운로드를 시도하는 등 수상한 행동을 보인다고 보고했습니다.