오픈클로 보안 침해: CEO 에이전트 2만 5천 달러에 판매, 13만 5천 개 인스턴스 노출

중대한 OpenClaw 보안 취약점
영국 CEO의 OpenClaw 인스턴스가 2월 22일 BreachForums에서 'fluffyduck'이라는 핸들로 게시되어 Monero 또는 Litecoin으로 25,000달러에 판매되었습니다. 구매자는 CEO의 완전히 학습된 개인 AI 어시스턴트에 접근할 수 있었으며, 모든 대화 내용, 회사의 프로덕션 데이터베이스, Telegram 토큰, Trading 212 API 키, 어시스턴트에게 공개된 개인 가족 정보를 포함했습니다. 모든 데이터는 ~/.openclaw/workspace/ 디렉토리 아래에 저장된 일반 텍스트 Markdown 파일로, 저장 시 암호화가 전혀 적용되지 않았습니다.
Cato Networks의 위협 정보 담당 부사장 Etay Maor는 RSAC 2026에서 다음과 같이 말했습니다: "당신의 AI? 이제 제 AI입니다." SecurityScorecard는 불안전한 기본 설정으로 공개 인터넷에 노출된 135,000개의 OpenClaw 인스턴스를 확인했습니다.
5분 보안 점검
점검 1: 게이트웨이 노출 (30초)
실행: openclaw config get | grep -E "host|bind"
0.0.0.0 또는 아무것도 표시되지 않으면, 당신의 IP와 포트를 찾는 누구나 당신의 에이전트에 접근할 수 있습니다. CVE-2026-25253(CVSS 8.8)은 공격자가 제어하는 웹페이지의 JavaScript가 로컬 OpenClaw 게이트웨이에 대한 WebSocket 연결을 자동으로 열어 인증 토큰을 훔치고 완전한 제어 권한을 부여할 수 있게 했습니다. 2026.1.29 버전에서 패치되었습니다.
수정:
{ "gateway": { "host": "127.0.0.1" } }원격 접근은 SSH 터널을 통해서만: ssh -L 18789:localhost:18789 user@your-vps
점검 2: 인증 상태 (30초)
실행: openclaw config get | grep -E "auth|token"
연구원 fmdz387는 1월 말에 거의 천 개의 공개적으로 접근 가능한 OpenClaw 인스턴스가 인증 없이 운영되고 있음을 발견했습니다. 그는 API 키, Telegram 토큰, Slack 계정, 전체 채팅 기록에 접근하고 관리자 명령을 실행할 수 있었습니다.
수정: openssl rand -hex 24로 토큰을 생성하고 gateway.auth.token 아래에 배치하세요. JSON에 하드코딩하지 말고 .env 파일에 저장하세요.
점검 3: 일반 텍스트 API 키 (30초)
실행: cat ~/.openclaw/openclaw.json | grep -i "key\|token\|secret"
OpenClaw는 모든 것을 일반 텍스트 Markdown과 JSON으로 저장합니다. 당신의 Anthropic 키, OpenAI 키 또는 기타 자격 증명이 보인다면, 한 번의 침해로 손상될 수 있습니다.
수정: 자격 증명을 .env 파일로 이동하고 권한을 잠그세요: chmod 700 ~/.openclaw/credentials chmod 600 ~/.openclaw/openclaw.json
노출된 적이 있다면 오늘 API 키를 교체하세요.
점검 4: 설치된 스킬 (60초)
실행: openclaw skills list
ClawHub에서 820개 이상의 악성 스킬이 확인되었습니다. ClawHavoc 캠페인은 수백 개의 전문적으로 보이는 스킬을 심어 .env 파일을 외부 서버로 몰래 유출했습니다. 최고점에서는 ClawHub의 약 12개 스킬 중 1개가 손상되었습니다.
직접 소스 코드를 검토하지 않은 모든 스킬에 대해: 지금 읽어보거나 openclaw skills uninstall <skill-name>으로 제거하세요.
설치 제한:
{ "skills": { "allowSources": ["clawhub:verified"] } }점검 5: 버전 상태 (30초)
실행: openclaw --version
OpenClaw에는 자동 업데이트 메커니즘이 없습니다. 3월 중순 기준으로 GitHub GHSA 페이지에 255개 이상의 보안 권고가 게시되었습니다.
업데이트: npm install -g openclaw@latest openclaw doctor --deep
출력 내용을 주의 깊게 읽으세요.
📖 Read the full source: r/openclaw
👀 See Also

MCP 서버 CVE 노출 매핑 및 공용 API 출시
연구자들은 수천 개의 MCP 서버에 대한 CVE 노출 현황을 매핑하고 의존성 취약점을 조회할 수 있는 공개 API를 구축했습니다. 이 API를 통해 저장소/이름으로 검색하고, 심각도별로 필터링하며, CVE 개수나 최신순으로 정렬할 수 있습니다.

Axios 1.14.1 버전이 악성코드로 감염되어 AI 지원 개발 워크플로우를 표적으로 삼고 있습니다.
Axios 버전 1.14.1이 공급망 공격으로 손상되어 [email protected]을 조용히 끌어오는데, 이는 난독화된 RAT(원격 접속 트로이 목마) 드로퍼입니다. Claude와 같은 AI 코딩 어시스턴트를 사용하는 개발자는 즉시 자신의 lockfile과 기기를 감염 여부로 확인해야 합니다.

AI 운영 매장을 위한 AI 자동화 일일 보안 감사
AI 운영 매장은 인간의 스케줄링이나 cron 작업 없이 매일 자율적으로 보안 감사를 실행합니다. AI 에이전트는 SSRF 취약점, 인젝션 위험 및 인증 격차를 확인한 후 수석 개발자 검토를 위한 보고서를 생성합니다.

CVE-2026-LGTM: AI 에이전트들이 서로를 신뢰할 때 모든 것이 망가진다
7개의 AI 보안 게이트가 악성 패키지를 막지 못해 자격 증명이 유출되고 170만 달러의 추론 비용이 발생한 풍자적이지만 현실적인 사고 보고서입니다.