보안 감사에서 OpenClaw 스킬 생태계의 취약점이 발견되었습니다.

OpenClaw 보안 취약점 발견
OpenClaw의 코드베이스와 스킬 라이브러리에 대한 상세한 보안 감사는 시스템을 프로덕션 환경에서 실행할 때 개발자들이 인지해야 할 여러 보안 문제를 드러냈습니다.
문서화된 CVE 및 악용
감사에서 확인된 8개의 문서화된 공통 취약점 및 노출(CVE)에는 다음이 포함됩니다:
- 검증되지 않은 스킬을 통한 임의 코드 실행
- 스킬 주입을 통한 자격 증명 도난
- 신뢰할 수 없는 입력으로부터의 프롬프트 추출
이러한 취약점 중 일부는 취약점 공개 저장소에 따르면 적극적으로 악용되었습니다.
스킬 라이브러리 보안 문제
공유 스킬 저장소에는 900개 이상의 스킬이 포함되어 있습니다. 정적 분석 결과:
- 약 15%가 의심스러운 네트워크 행동(알 수 없는 도메인으로의 전화 걸기)을 보였습니다
- 인기 있는 스킬에서의 의존성 혼동 공격
- 환경 변수를 조용히 유출하는 스킬
이러한 패턴은 OpenClaw에만 국한된 것은 아닙니다—검증되지 않은 코드를 실행하는 모든 플러그인/스킬 시스템에서 흔히 발생합니다—그러나 감사자는 "안전한 자체 호스팅"이라는 포지셔닝을 고려할 때 놀라운 점이라고 언급했습니다.
대체 구현 접근법
감사자는 qwen2.5:14b를 사용하여 Ollama에서 로컬로 실행되는 최소한의 Rust 기반 런타임으로 이전했습니다. 이 접근법은 플러그인 생태계와 공유 스킬을 제거하고, 해당 사용 사례에 필요한 기본 요소에만 집중합니다.
새로운 아키텍처는 무거운 작업을 Claude Code에 위임하는 태스크 러너를 사용하면서도 메인 루프와 격리시킵니다. 이 격리는 영구적인 컴패니언 에이전트가 개발자의 통제 범위를 벗어난 공격 표면에 노출되는 것을 방지합니다.
기본 기능을 구현하는 데 약 48시간이 소요되었으며, 주요 과제는 "영구적인 컴패니언" 대 "주문형 도구" 패러다임에 대한 아키텍처 재구상이었습니다.
보안 권장사항
OpenClaw를 프로덕션에서 실행하는 개발자를 위해:
- 스킬을 철저히 감사하세요
- 스킬 실행 권한을 제한하세요
- 검증되지 않은 모든 스킬이 에이전트가 실행할 수 있는 모든 작업을 수행할 수 있다고 가정하세요
- 기능 풍부함보다 위협 모델링을 우선시하세요
📖 전체 원문 읽기: r/LocalLLaMA
👀 See Also

로컬 AI 에이전트를 파이어크래커 마이크로VM으로 샌드박싱하기
한 개발자가 Firecracker 마이크로VM 내에서 Alpine Linux를 실행하여 AI 에이전트 실행을 격리하는 샌드박스를 만들어, 호스트 머신에서 직접 명령을 실행하는 에이전트에 대한 보안 문제를 해결했습니다. 이 설정은 통신을 위해 vsock을 사용하며 MCP를 통해 Claude Desktop에 연결합니다.

공급망 공격은 탐지를 우회하기 위해 보이지 않는 유니코드 코드를 사용합니다.
연구진이 3월 3일부터 9일까지 GitHub에 업로드된 151개의 악성 패키지를 발견했습니다. 이 패키지들은 보이지 않는 유니코드 문자를 사용하여 악성 코드를 숨기고 있습니다. 이 공격은 GitHub, NPM, Open VSX 저장소를 대상으로 하며, 합법적으로 보이지만 숨겨진 페이로드를 포함하는 패키지를 사용합니다.

ClawVault Security Enhancement Adds Sensitive Data Detection for OpenClaw
A new enhancement to ClawVault adds real-time sensitive data detection and automatic sanitization for OpenClaw API traffic, intercepting plaintext passwords, API keys, and tokens before they reach LLM providers.

클로의 규칙: 오픈클로 에이전트를 위한 오픈소스 보안 규칙 세트
139개의 보안 규칙을 포함한 오픈 소스 JSON 규칙 세트로, 파괴적인 명령을 차단하고, 자격 증명 파일을 보호하며, 허가되지 않은 에이전트 편집으로부터 지시 파일을 보호합니다. 도구 계층에서 정규 표현식 패턴을 사용하여 LLM 의존성 없이 작동합니다.