OpenClaw 2026.3.28은 중요한 권한 상승을 포함한 8개의 보안 취약점을 패치했습니다.

✍️ OpenClawRadar📅 게시일: April 1, 2026🔗 Source
OpenClaw 2026.3.28은 중요한 권한 상승을 포함한 8개의 보안 취약점을 패치했습니다.
Ad

OpenClaw에 대한 중요한 보안 패치

OpenClaw 2026.3.28에는 Ant AI Security Lab의 3일간 감사 중 발견된 8개의 보안 취약점에 대한 패치가 포함되어 있습니다. 이 감사에서는 총 33개의 문제가 발견되었으며, 이 중 8개가 확인되어 최신 안정 버전에서 수정되었습니다.

패치된 주요 취약점

가장 중요한 문제는 다음과 같습니다:

  • 심각한 권한 상승 취약점: 낮은 권한의 운영자가 /pair approve 경로를 통해 관리자 접근을 승인할 수 있었음
  • 높은 심각도 샌드박스 탈출 취약점: message 도구가 별칭 매개변수를 사용하여 임의의 로컬 파일을 읽도록 속일 수 있었음
  • 높은 심각도 노드 페어링 승인 우회 취약점
  • 높은 심각도 WebSocket 세션 하이재킹 취약점

영향을 받는 시스템

이러한 취약점은 다중 노드 OpenClaw 설정과 message 또는 fal과 같은 내장 도구 사용자에게 영향을 미칩니다.

Ad

보안 권고사항

자세한 정보는 GitHub 보안 권고에서 확인할 수 있습니다:

아직 업데이트하지 않았다면 즉시 OpenClaw 2026.3.28로 업데이트하세요.

📖 전체 원문 읽기: r/openclaw

Ad

👀 See Also

마이크로소프트 해킹: 깃허브 리포지토리에 악성코드 심어 클로드와 제미나이 사용자 표적
Security

마이크로소프트 해킹: 깃허브 리포지토리에 악성코드 심어 클로드와 제미나이 사용자 표적

마이크로소프트가 70개 이상의 GitHub 저장소를 차단했다. 해커들이 AI 코딩 에이전트(Claude Code, Gemini CLI)를 표적으로 삼아 자격 증명을 탈취하는 악성코드를 심었기 때문이다.

OpenClawRadar
공급망 공격은 탐지를 우회하기 위해 보이지 않는 유니코드 코드를 사용합니다.
Security

공급망 공격은 탐지를 우회하기 위해 보이지 않는 유니코드 코드를 사용합니다.

연구진이 3월 3일부터 9일까지 GitHub에 업로드된 151개의 악성 패키지를 발견했습니다. 이 패키지들은 보이지 않는 유니코드 문자를 사용하여 악성 코드를 숨기고 있습니다. 이 공격은 GitHub, NPM, Open VSX 저장소를 대상으로 하며, 합법적으로 보이지만 숨겨진 페이로드를 포함하는 패키지를 사용합니다.

OpenClawRadar
🦀
Security

Google 위협 인텔리전스 그룹, 2FA를 우회한 첫 AI 개발 제로데이 익스플로잇 보고

Google 위협 인텔리전스 그룹(GTIG)이 인기 있는 오픈소스 웹 기반 시스템 관리 도구에서 2FA를 우회하는 최초의 완전 AI 개발 제로데이 익스플로잇을 비롯해 스스로 변형하는 멀웨어와 Gemini 기반 백도어를 발견했습니다.

OpenClawRadar
스킬 애널라이저가 ClawHub에서 사용 가능해졌으며, 단일 명령어로 설치할 수 있습니다.
Security

스킬 애널라이저가 ClawHub에서 사용 가능해졌으며, 단일 명령어로 설치할 수 있습니다.

OpenClaw Skill Analyzer 보안 스캐너가 이제 ClawHub에서 단일 명령어로 설치 가능합니다. 이 도구는 프롬프트 주입 및 자격 증명 도난과 같은 악성 패턴을 스킬 폴더에서 검사하며, 안전한 실행을 위한 Docker 샌드박스 지원을 포함합니다.

OpenClawRadar