OpenClaw 보안 우려: 기본 셀프 호스팅 설정에서 API 키와 대화 데이터가 위험에 노출됨
r/openclaw의 한 사용자가 OpenClaw 자체 호스팅에 대한 보안 우려를 제기하며, 특히 API 키와 대화 데이터 보호에 관한 문제를 언급했습니다.
보안 평가
출처에서 인용된 시스코 보고서에 따르면, OpenClaw 보안은 '선택 사항이며 내장되어 있지 않다'고 설명됩니다. 기본 구성이 이 평가에 기여하는 것으로 보입니다.
구체적 취약점
- API 키는 소프트웨어가 실행되는 VPS의 .env 파일에 저장됨
- VPS에 대한 루트 접근 권한은 이러한 파일을 완전히 볼 수 있게 함
- 이 문제는 기본 설정으로 $5 드롭렛에서 OpenClaw를 실행할 수 있는 비기술적 사용자에게 특히 심각함
- Anthropic API 키는 이 기본 구성에서 평문으로 저장됨
커뮤니티 요청
원본 게시자는 커뮤니티에서 개발된 솔루션을 찾고 있으며, 구체적으로 다음을 요청했습니다:
- 강화된 배포 가이드
- 커뮤니티가 합의한 표준화된 보안 구성
해당 사용자는 개인 프로젝트에서는 이러한 위험을 감수할 수 있지만, 보안 문제로 인해 비기술적 사람들에게는 이 설정을 추천할 수 없다고 언급했습니다.
📖 Read the full source: r/openclaw
👀 See Also
Python과 Gemini Flash를 활용한 OpenClaw 명령어 보안 모니터링
한 Reddit 사용자가 OpenClaw의 명령어 실행을 추적하고 의심스러운 활동에 대해 경고하는 보안 모니터링 설정을 공유했습니다.
구글 TIG, 최초의 AI 생성 제로데이 취약점 악용 보고
Google 위협 인텔리전스 그룹이 AI로 개발된 것으로 추정되는 제로데이 익스플로잇을 사용하는 위협 행위자를 식별했습니다. 이는 제로데이 취약점 악용을 위한 AI의 최초의 공격적 사용으로 기록됩니다.
학생이 OpenClaw 생산 시스템에 두 개의 보안 패치를 기여했습니다.
한 학생 개발자가 OpenClaw의 게이트웨이 로직에서 'fail-open' 취약점(PR #29198)과 채팅 이미지의 탭납빙(tabnabbing) 취약점(PR #18685)을 수정했으며, 두 패치가 각각 프로덕션 릴리스 v2026.3.1과 v2026.2.24에 적용되었습니다.
악성 PyTorch Lightning 패키지, 자격 증명 탈취 및 npm 패키지 웜 공격
PyPI 패키지 'lightning' 버전 2.6.2 및 2.6.3에 Shai-Hulud 테마의 악성코드가 포함되어 자격 증명, 토큰, 클라우드 비밀을 탈취하고, 주입된 JavaScript 페이로드를 통해 npm 패키지로 확산됩니다.