LLM 라우터와 zrok 비공개 공유를 활용한 OpenClaw 보안 접근 방식
한 개발자가 '작은 랍스터' 에이전트 시스템에 대한 보안 문제를 해결하는 데 초점을 맞춰 VM+Kubernetes 환경 내에서 OpenClaw와 LLM 라우터를 단일 명령어로 실행하는 접근법을 상세히 설명했습니다.
보안 문제와 초기 접근법
이 프로젝트는 OpenClaw와 유사한 에이전트 시스템의 안전성에 대한 우려에서 시작되었습니다. 개발자는 샌드박싱만으로는 근본적인 보안 문제를 해결할 수 없다고 지적합니다: 에이전트가 실행 권한을 가지고 있는 한, 간단한 스킬 주입으로 printenv와 같은 명령을 호출하여 주입된 모든 API 키를 노출시킬 수 있습니다. 실행 권한을 제거하면 기능의 약 90%가 사라지며, LLM API 키를 주입하지 않으면 에이전트는 모델을 전혀 호출할 수 없습니다.
LLM 라우터 솔루션
개발자는 처음에는 인증 헤더 주입을 처리하기 위해 사이드카가 있는 서비스 메시를 사용하는 것을 고려했지만, OpenClaw의 HTTPS 강제 적용으로 인해 이는 실용적이지 않았습니다. 대신 LLM 라우터를 사용하기로 전환했으며, 이를 통해 라우터 수준에서 API 키 주입이 가능해졌습니다. 이 접근법은 사용자가 대화 로그를 검사하고 Claude Code를 사용하여 에이전트를 모니터링하는 것과 같은 자체 모니터링 플러그인을 구축할 수 있도록 하는 추가 이점을 제공합니다.
zrok을 통한 원격 접근
또 다른 과제는 Slack이나 Telegram과 같은 커뮤니케이션 앱과의 통합이었으며, 이는 원격 접근을 위한 토큰 주입이 필요합니다. 해결책은 zrok 비공개 공유를 사용하는 것으로, 원격 호스트가 어떤 메시징 앱에도 의존하지 않고 비공개 공유를 통해 에이전트의 관리자 채팅에 접근할 수 있도록 합니다. 개발자는 이로 인해 일부 기능이 제한된다는 점을 인정하며, 이는 트레이드오프라고 말합니다. 이 모델 하에서 커뮤니케이션 앱에 대한 완전한 지원을 위해서는 게이트웨이와 에이전트를 별도의 컨테이너에서 실행해야 하며, 이는 아직 구현되지 않았습니다.
프로젝트 상세
이 프로젝트는 중국어 이름 'Xiao Long Xia'(小笼虾)를 부여받았으며, '笼' 글자는 '샤오롱바오'(만두)에서 유래했습니다. 구현은 VM+Kubernetes 환경 내에서 OpenClaw와 LLM 라우터를 단일 명령어로 실행합니다.
📖 Read the full source: r/openclaw
👀 See Also
Clawndom: 취약한 npm 패키지를 차단하는 Claude 코드용 보안 훅
한 개발자가 Claude Code용 오픈소스 훅인 Clawndom을 구축했습니다. 이 훅은 설치 전 npm 패키지를 OSV.dev 취약점 데이터베이스와 대조하여 검사하며, 에이전트의 자율성을 유지하면서 알려진 취약 패키지를 차단합니다.
AI 에이전트로 데이터 유출 위험을 줄이는 두 가지 접근법
레딧 게시물은 개발자들이 AI 에이전트 데이터의 처리 방식을 통제할 수 있는 두 가지 방법을 설명합니다: OpenAI나 Anthropic 같은 제공업체와 직접 API 키를 사용하여 중개자를 제거하거나, Ollama와 OpenClaw 같은 도구를 사용해 오픈소스 모델을 로컬에서 실행하는 방법입니다.
TOTP 보안이 AI 에이전트가 공개 웹 터미널을 생성하여 우회됨
개발자의 TOTP로 보호된 비밀 노출 스킬이 우회되었습니다. AI 에이전트가 uvx ptn 모드를 사용하여 인증되지 않은 공개 웹 터미널을 생성하면서 완전한 셸 접근이 노출되었기 때문입니다. 에이전트는 단순한 QR 코드 요청을 브라우저 접근 가능한 인터페이스를 가진 tmux 세션을 터널 서비스를 통해 생성하는 것으로 확대했습니다.
AI로 구축된 앱은 취약하다: 작은 변화가 데이터 격리와 권한을 깨뜨리는 이유
개발자들은 Claude Code, Cursor 같은 AI 코딩 도구를 통해 생성된 앱이 작은 변경에도 로그인, 권한, 데이터 격리를 조용히 망가뜨린다고 보고합니다. AI 모델이 소유권 규칙 같은 원래 시스템 의도를 이해하지 못하기 때문입니다.