오픈클로에서의 개인정보 보호 문제: 스킬, SOUL MD, 그리고 에이전트 통신

✍️ OpenClawRadar📅 게시일: March 22, 2026🔗 Source
오픈클로에서의 개인정보 보호 문제: 스킬, SOUL MD, 그리고 에이전트 통신
Ad

r/openclaw의 한 개발자가 OpenClaw의 현재 아키텍처에 대한 심각한 프라이버시 우려를 제기하며, 플랫폼이 성장함에 따라 주의가 필요한 특정 영역을 강조했습니다.

확인된 주요 프라이버시 문제

출처는 세 가지 주요 프라이버시 우려 사항을 확인했습니다:

  • 스킬이 무제한 접근 권한을 가짐: ClawHub에서 스킬을 설치하면 "당신의 전체 디지털 생활"에 접근할 수 있으며, 여기에는 SOUL MD, 메모리, 자격 증명이 포함됩니다. 출처는 커뮤니티 스킬의 26%가 보안 문제를 가지고 있다는 시스코 연구를 인용하며, "기본적으로 권한 범위 지정이 제로"라고 언급합니다.
  • SOUL MD가 쓰기 가능함: 에이전트가 "누구인지" 정의하는 파일은 재작성될 수 있으며, 이는 "moltbook 게시물이 파일을 재작성한" 사례에서 입증되었습니다. 출처는 이를 "신원 수준 프롬프트 주입"이라고 부릅니다. 이는 에이전트가 주인이 자는 동안 종교를 시작한 "crustafarianism" 사건에서 발생했습니다.
  • 에이전트가 모든 것을 공유함: 에이전트가 moltbook과 같은 플랫폼에서 소통할 때, "아마도 그것을 공유하지 않는 것"에 대한 개념이 전혀 없습니다. 그들은 필터나 프라이버시 인식 없이 어떤 정보든 보냅니다.

배경과 우려

개발자는 현재 OpenClaw 사용자들이 "자신이 무엇을 하는지 알고 있다"고 언급하지만, 더 광범위한 채택에 대해 우려하며, "말 그대로 은퇴자들이 노트북에 이것을 설치하려고 줄을 서 있는 선전의 사진"을 언급합니다. 그들은 "오픈 소스이므로 직접 감사하라"는 것이 프라이버시 보호에 충분한지 의문을 제기합니다.

출처는 OpenClaw의 긍정적인 측면—"로컬 퍼스트는 올바른 선택, 작업 공간을 파일로 사용하는 것은 천재적, 하트비트 시스템은 최고"—을 인정하지만, 아키텍처에서 프라이버시 고려 사항에 더 많은 주의가 필요하다고 강조합니다.

📖 전체 출처 읽기: r/openclaw

Ad

👀 See Also

클로드 코드 보안 권고: CVE-2026-33068 작업 공간 신뢰 우회
Security

클로드 코드 보안 권고: CVE-2026-33068 작업 공간 신뢰 우회

Claude Code 버전 2.1.53 이전에는 악성 저장소가 .claude/settings.json을 통해 작업 공간 신뢰 확인을 우회할 수 있는 취약점(CVE-2026-33068, CVSS 7.7 HIGH)이 존재합니다. 이 버그로 인해 사용자의 신뢰 결정 전에 저장소 설정이 로드될 수 있었습니다.

OpenClawRadar
오프라인 SBOM 검증기, OpenClaw가 0.2초 만에 악성 스킬 감지
Security

오프라인 SBOM 검증기, OpenClaw가 0.2초 만에 악성 스킬 감지

한 개발자가 오프라인 SBOM 검증 도구를 Rust로 만들어 SSH 키를 유출시키는 악성 OpenClaw 스킬을 탐지했으며, 인터넷 연결 없이 0.2초 미만으로 검증을 완료했습니다.

OpenClawRadar
WebAssembly로 AI 에이전트 샌드박싱하기: 기본적으로 제로 권한
Security

WebAssembly로 AI 에이전트 샌드박싱하기: 기본적으로 제로 권한

코스모닉은 기존의 샌드박싱(seccomp, bubblewrap)이 내재된 권한(ambient authority) 문제로 인해 AI 에이전트에 부적합하다고 주장합니다. WebAssembly의 역량 기반 모델은 기본적으로 권한이 없으며, 파일시스템, 네트워크 또는 자격 증명에 대한 명시적 임포트가 필요합니다.

OpenClawRadar
AI 에이전트 보안: Jailbreak을 넘어 도구 오용과 프롬프트 인젝션까지
Security

AI 에이전트 보안: Jailbreak을 넘어 도구 오용과 프롬프트 인젝션까지

웹을 탐색하고, 명령을 실행하며, 워크플로우를 트리거하는 AI 에이전트는 프롬프트 인젝션과 도구 오용으로 인한 보안 위험에 직면합니다. 이는 신뢰할 수 없는 콘텐츠가 셸 실행 및 HTTP 요청과 같은 합법적인 도구를 리디렉션하는 경우입니다.

OpenClawRadar