OpenClaw Security: AI 에이전트를 보호하는 13가지 실용적인 단계

r/clawdbot의 상세한 레딧 게시물은 OpenClaw AI 에이전트 배포를 강화하기 위한 13가지 구체적인 보안 권장 사항을 제공합니다. 이 게시물은 많은 사용자가 기본 설정으로 OpenClaw를 로컬에서 실행하여 파일, API 및 시스템 명령이 잠재적인 침해에 노출될 수 있다고 강조합니다.
주요 보안 단계
- 별도 머신: 개인 노트북이 아닌 월 5달러 VPS(Hetzner, DigitalOcean, Linode) 또는 여분의 머신에서 OpenClaw를 실행하세요.
- 비루트 사용자: 루트로 실행하는 대신 제한된 권한을 가진 전용 사용자를 생성하세요.
- 기본 포트 변경: 기본 포트 8080에서 10000에서 65535 사이의 임의 번호로 전환하세요.
- Tailscale 설치: Tailscale을 사용하여 서버를 인터넷에서 보이지 않게 만들고 승인된 장치만 연결할 수 있도록 하세요.
- SSH 키 & Fail2ban: 비밀번호 로그인을 비활성화하고 SSH 키만 사용하며, fail2ban을 설치하여 24시간 동안 세 번의 로그인 시도 실패 후 IP를 차단하세요.
- UFW 방화벽: 불필요한 모든 포트를 닫으세요. Tailscale을 사용하면 SSH만 접근 가능하면 됩니다.
- 사용자 허용 목록: OpenClaw를 특정 Telegram 계정에만 응답하도록 구성하세요. 다른 사용자는 응답을 받지 못합니다.
- 자체 감사: 봇에게 물어보세요: "자신의 보안 설정을 감사하고 수정해야 할 부분을 알려주세요." 체계적인 점검을 위해 Adversa AI의 오픈소스 플러그인인 SecureClaw를 사용하세요. 이는 OpenClaw 설치에 대해 55가지 자동화된 보안 점검을 실행합니다.
- 실시간 경고: 로그인 실패, 구성 변경 또는 새로운 SSH 연결에 대한 경고를 구성하세요.
- DM 전용: 봇 접근을 다이렉트 메시지로만 제한하세요. 그룹 접근이 필요한 경우 제한된 권한으로 별도 인스턴스를 실행하세요.
- Docker 샌드박싱: 구성에서
agents.defaults.sandbox: true를 설정하여 서브에이전트를 Docker 컨테이너 내부에서 실행하세요. 이는 프롬프트 인젝션 공격을 방지하기 위해 도구 실행을 격리합니다. ClawHub의 타사 스킬을 실행하기 전에 검토하세요. - 일일 보안 감사 Cron: 구성 변경이나 우발적인 포트 개방을 포착하기 위해 매일 전체 보안 감사를 실행하는 cron 작업을 설정하세요.
- 최신 상태 유지: OpenClaw 업데이트를 유지하거나 DevOps 작업을 처리하지 않으려면 StartClaw와 같은 관리형 서비스를 사용하세요.
이 게시물은 Docker 샌드박싱을 가장 중요한 단계로 제시하며, 적절한 격리 없이 웹페이지를 탐색하는 서브에이전트가 프롬프트 인젝션 공격을 통해 속을 수 있다고 언급합니다.
📖 Read the full source: r/clawdbot
👀 See Also

오픈소스 공격 표면 관리 치트 시트 발표
한 개발자가 실용적인 워크플로우, 도구, 참고 자료를 다루는 공격 표면 관리 치트 시트를 오픈소스로 공개했습니다. 이 프로젝트에는 자산 발견, 인프라 추적, 정찰 도구, 자동화 워크플로우, 학습 자료 섹션이 포함되어 있습니다.

클로드 케이지: 클로드 코드 보안을 위한 도커 샌드박스
한 개발자가 Claude Cage라는 Docker 컨테이너를 만들어 Claude Code를 단일 작업 공간 폴더로 격리시켜 SSH 키, AWS 자격 증명, 개인 파일에 대한 접근을 차단했습니다. 이 설정에는 보안 규칙이 포함되어 있으며 Docker가 설치된 상태에서 약 2분 정도 소요됩니다.

레딧 사용자가 OpenClaw VM 지속성 및 의심스러운 활동을 보고합니다
레딧 사용자가 OpenClaw 가상 머신이 닫힌 후 자동으로 재시작되고, Microsoft Store를 열고 의심스러운 파일 다운로드를 시도하는 등 수상한 행동을 보인다고 보고했습니다.

pi-governance: OpenClaw 코딩 에이전트를 위한 RBAC, DLP 및 감사 로깅
pi-governance는 AI 코딩 에이전트와 시스템 사이에 위치하여 도구 호출을 분류하고 위험한 작업을 차단하는 플러그인입니다. 이 플러그인은 배시 명령어 차단, 비밀 정보와 PII를 위한 DLP 스캐닝, 역할 기반 접근 제어, 그리고 제로 구성으로 구조화된 감사 로깅을 제공합니다.