사용자 정의 AI 에이전트를 위한 OpenClaw 구성 요소 추출의 보안 분석

한 개발자가 전체 시스템을 실행하지 않고 커스텀 AI 에이전트 스택에서 사용하기 위해 OpenClaw 구성 요소 중 안전하게 추출할 수 있는 것들에 대한 상세한 보안 분석을 발표했습니다. 이 분석은 메모리 검색, 브라우저 자동화, 작업 큐 기능과 같은 구성 요소에 초점을 맞추고 있습니다.

보안 평가 방법론

개발자는 Lethal Quartet 프레임워크(Willison/Palo Alto Networks)를 사용하여 각 구성 요소를 네 가지 기준으로 평가했습니다: 개인 데이터 접근 여부, 신뢰할 수 없는 콘텐츠 처리 여부, 외부 통신 여부, 상태 유지 여부.

구성 요소 보안 등급

• Lane Queue (0/4): 순수 로직으로 I/O가 전혀 없습니다. 완전히 안전하게 추출 가능합니다. 두 파일에서 3개의 임포트를 교체해야 합니다.
• Workspace Config (2/4): 형식은 무해하지만, memory.md가 구성 파일이자 쓰기 대상으로 사용되어 메모리 중독 공격 가능성을 만듭니다.
• Memory System (3/4): 모든 것을 일반 텍스트로 저장합니다. memsearch 추출은 10개의 프로덕션 기능을 놓쳤습니다.
• Semantic Snapshots (4/4): 완전한 위협 벡터입니다. BrowserClaw가 이 구성 요소를 추출했지만 모든 보안 래핑을 제거했습니다.

중요한 보안 발견 사항

Semantic Snapshots의 4/4 점수는 가장 우려되는 발견 사항입니다. OpenClaw는 LLM이 신뢰할 수 있는 콘텐츠와 신뢰할 수 없는 콘텐츠를 구분할 수 있도록 모든 브라우저 출력을 무작위 경계 표시자로 래핑합니다. 그러나 BrowserClaw, agent-browser, moltworker 모두 이 구성 요소를 추출할 때 이 보안 기능을 제거했습니다.

독립 실행형 추출물 중 어느 것도 콘텐츠 래핑 형태를 포함하지 않습니다. 이는 모든 페이지 스냅샷이 원시 텍스트로 LLM 컨텍스트에 들어가 상당한 프롬프트 인젝션 표면적을 생성한다는 의미입니다.

BrowserClaw 자체는 스크린샷 대비 90%의 토큰 절감 효과를 제공하며 프로덕션에서 검증되었지만, 래핑 없이 추출하는 것의 보안 영향은 상당합니다.

사용 가능한 자료

개발자는 각 구성 요소에 대한 상세한 프로필을 만들었으며, 여기에는 추출 방법, 종속성 맵, 추출 중 발생하는 문제점, 프레임워크 통합 패턴(LangGraph/AutoGen/CrewAI/SK), 그리고 특정 완화 조치가 포함되어 있습니다. 이 자료는 다음에서 확인할 수 있습니다: https://github.com/Agent-Trinity/openclaw-block-profiles