오픈클로 보안 침해: CEO 에이전트 2만 5천 달러에 판매, 13만 5천 개 인스턴스 노출
중대한 OpenClaw 보안 취약점
영국 CEO의 OpenClaw 인스턴스가 2월 22일 BreachForums에서 'fluffyduck'이라는 핸들로 게시되어 Monero 또는 Litecoin으로 25,000달러에 판매되었습니다. 구매자는 CEO의 완전히 학습된 개인 AI 어시스턴트에 접근할 수 있었으며, 모든 대화 내용, 회사의 프로덕션 데이터베이스, Telegram 토큰, Trading 212 API 키, 어시스턴트에게 공개된 개인 가족 정보를 포함했습니다. 모든 데이터는 ~/.openclaw/workspace/ 디렉토리 아래에 저장된 일반 텍스트 Markdown 파일로, 저장 시 암호화가 전혀 적용되지 않았습니다.
Cato Networks의 위협 정보 담당 부사장 Etay Maor는 RSAC 2026에서 다음과 같이 말했습니다: "당신의 AI? 이제 제 AI입니다." SecurityScorecard는 불안전한 기본 설정으로 공개 인터넷에 노출된 135,000개의 OpenClaw 인스턴스를 확인했습니다.
5분 보안 점검
점검 1: 게이트웨이 노출 (30초)
실행: openclaw config get | grep -E "host|bind"
0.0.0.0 또는 아무것도 표시되지 않으면, 당신의 IP와 포트를 찾는 누구나 당신의 에이전트에 접근할 수 있습니다. CVE-2026-25253(CVSS 8.8)은 공격자가 제어하는 웹페이지의 JavaScript가 로컬 OpenClaw 게이트웨이에 대한 WebSocket 연결을 자동으로 열어 인증 토큰을 훔치고 완전한 제어 권한을 부여할 수 있게 했습니다. 2026.1.29 버전에서 패치되었습니다.
수정:
{ "gateway": { "host": "127.0.0.1" } }원격 접근은 SSH 터널을 통해서만: ssh -L 18789:localhost:18789 user@your-vps
점검 2: 인증 상태 (30초)
실행: openclaw config get | grep -E "auth|token"
연구원 fmdz387는 1월 말에 거의 천 개의 공개적으로 접근 가능한 OpenClaw 인스턴스가 인증 없이 운영되고 있음을 발견했습니다. 그는 API 키, Telegram 토큰, Slack 계정, 전체 채팅 기록에 접근하고 관리자 명령을 실행할 수 있었습니다.
수정: openssl rand -hex 24로 토큰을 생성하고 gateway.auth.token 아래에 배치하세요. JSON에 하드코딩하지 말고 .env 파일에 저장하세요.
점검 3: 일반 텍스트 API 키 (30초)
실행: cat ~/.openclaw/openclaw.json | grep -i "key\|token\|secret"
OpenClaw는 모든 것을 일반 텍스트 Markdown과 JSON으로 저장합니다. 당신의 Anthropic 키, OpenAI 키 또는 기타 자격 증명이 보인다면, 한 번의 침해로 손상될 수 있습니다.
수정: 자격 증명을 .env 파일로 이동하고 권한을 잠그세요: chmod 700 ~/.openclaw/credentials chmod 600 ~/.openclaw/openclaw.json
노출된 적이 있다면 오늘 API 키를 교체하세요.
점검 4: 설치된 스킬 (60초)
실행: openclaw skills list
ClawHub에서 820개 이상의 악성 스킬이 확인되었습니다. ClawHavoc 캠페인은 수백 개의 전문적으로 보이는 스킬을 심어 .env 파일을 외부 서버로 몰래 유출했습니다. 최고점에서는 ClawHub의 약 12개 스킬 중 1개가 손상되었습니다.
직접 소스 코드를 검토하지 않은 모든 스킬에 대해: 지금 읽어보거나 openclaw skills uninstall <skill-name>으로 제거하세요.
설치 제한:
{ "skills": { "allowSources": ["clawhub:verified"] } }점검 5: 버전 상태 (30초)
실행: openclaw --version
OpenClaw에는 자동 업데이트 메커니즘이 없습니다. 3월 중순 기준으로 GitHub GHSA 페이지에 255개 이상의 보안 권고가 게시되었습니다.
업데이트: npm install -g openclaw@latest openclaw doctor --deep
출력 내용을 주의 깊게 읽으세요.
📖 Read the full source: r/openclaw
👀 See Also
OpenClaw 사용자가 에이전트 자율성과 웹 보안 균형 맞추기 전략 공유
OpenClaw 사용자가 현재 직면한 과제를 설명합니다: 웹 접근과 프롬프트 인젝션 위험과 관련하여 에이전트 자율성과 보안 사이의 균형을 맞추는 것. 그들은 '낮은 신뢰'와 '높은 신뢰' 에이전트 구분과 인간 승인 단계를 활용한 해결책을 제안합니다.
Caelguard: OpenClaw 인스턴스를 위한 오픈 소스 보안 스캐너
Caelguard는 OpenClaw를 위해 구축된 오픈소스 보안 스캐너로, Docker 격리, 도구 권한 범위 지정, 스킬 공급망 검증을 포함하여 인스턴스 전반에 걸쳐 22가지 검사를 실행합니다. 140점 만점에 점수와 등급, 구체적인 수정 단계를 제공합니다.
OpenClaw 보안 격차, 에이전트 권한 위임(APOA) 사양으로 해결
개발자가 OpenClaw의 보안 문제를 해결하기 위해 에이전트 권한 위임(APOA)이라는 오픈 사양을 발표했습니다. 현재 에이전트는 이메일 및 캘린더와 같은 서비스에 자연어 지침만을 가드레일로 접근하는 상황에서, 이 사양은 서비스별 권한, 시간 제한 접근, 감사 추적, 권한 철회 및 자격 증명 격리를 제안합니다.
에이전트 여권: AI 에이전트를 위한 신원 확인
Agent Passport는 Ed25519 인증과 JWT 토큰을 사용하는 오픈 소스 AI 에이전트 신원 확인 레이어로, 에이전트 사칭 문제를 해결합니다.