OpenClaw, /pair 승인 경로에서 중요한 권한 상승 취약점 패치

OpenClaw 도구 호출 레이어 보안 패치
OpenClaw는 Ant AI Security Lab에서 발견한 중요한 권한 상승 취약점을 패치하기 위해 버전 2026.3.28을 출시했습니다. 이는 로컬 LLM을 위한 도구 호출 레이어로 OpenClaw를 실행하는 사용자에게 영향을 미칩니다.
취약점 상세 정보
취약점은 /pair approve 명령어 경로에 있었습니다. 구체적으로, 디바이스 승인을 호출할 때 시스템이 호출자 범위를 핵심 승인 검사로 전달하지 못했습니다. 이로 인해 페어링 권한은 있지만 관리자 권한은 없는 사용자가 관리자 접근을 포함한 더 넓은 범위를 요청하는 보류 중인 디바이스 요청을 승인할 수 있었습니다.
버전 정보
- 영향을 받는 버전: OpenClaw <= 2026.3.24
- 패치된 버전: OpenClaw >= 2026.3.28
보안 영향
이 취약점은 OpenClaw를 통해 도구 접근이 가능한 로컬 LLM을 실행하는 모든 사용자에게 특히 관련이 있습니다. 모델이 프롬프트 주입 공격을 받아 사용자를 대신해 명령어를 실행할 수 있게 되면, 이는 권한을 상승시키기 위해 악용될 수 있는 정확한 경로입니다.
공고 식별자는 GHSA-hc5h-pmr3-3497이며, 전체 보안 공고는 GitHub에서 확인할 수 있습니다.
📖 Read the full source: r/openclaw
👀 See Also

Anthropic, 중국 연구소들의 산업 규모 Claude AI 데이터 추출을 공개합니다
Anthropic은 중국 AI 연구소들이 Claude에서 1,600만 건의 교환을 긁어내기 위해 24,000개 이상의 사기 계정을 사용했으며, 군사 및 감시 시스템을 위한 안전 장치와 논리 구조를 추출했다고 확인했습니다.

MCP 서버 신뢰성 및 보안 결과에 대한 독립 보고서
2,181개 MCP 서버 엔드포인트에 대한 독립적인 분석 결과, 52%가 작동하지 않으며, 300개는 인증이 전혀 없고, 51%는 CORS 설정이 완전히 개방되어 있음이 밝혀졌습니다. 이 보고서에는 분석 방법론과 테스트 도구가 포함되어 있습니다.

새로운 기술로 원격 서버의 OpenClaw 보안 강화를 자동화합니다
커뮤니티 개발자가 원격 서버에서 OpenClaw 설치를 자동으로 보안하는 데 도움이 되는 스킬을 공개했습니다.

오픈AI 2026년 6월 위협 보고서: 악성 활동에 사용되는 AI 에이전트
오픈AI의 최신 위협 보고서는 AI 에이전트가 허위 정보, 피싱, 사기에 어떻게 악용되는지 구체적인 사례 데이터와 완화 전략을 담고 있습니다.