OpenClaw 보안 패치로 QR 코드 자격 증명 노출 및 플러그인 자동 로드 취약점이 수정되었습니다.

✍️ OpenClawRadar📅 게시일: March 13, 2026🔗 Source
OpenClaw 보안 패치로 QR 코드 자격 증명 노출 및 플러그인 자동 로드 취약점이 수정되었습니다.
Ad

OpenClaw에서 두 가지 심각한 보안 취약점 패치

OpenClaw가 플랫폼의 심각한 보안 취약점 두 가지를 해결하는 패치를 발표했습니다. 이 패치는 버전 2026.3.12에 포함되었으며, 전날 패치된 다른 보안 문제(GHSA-5wcw-8jjv-m286)에 이어 발표되었습니다.

QR 코드 페어링 취약점

새로운 장치를 설정하는 데 사용되는 QR 코드 페어링 시스템이 만료 기간 없는 영구 게이트웨이 자격 증명을 QR 코드에 직접 포함하고 있었습니다. 이는 QR 코드의 스크린샷을 찍은 사람이 에이전트가 할 수 있는 모든 작업에 영구적으로 접근할 수 있게 했습니다. 이 취약점은 v2026.3.12에서 수정되어 이제 임시 코드를 사용합니다.

설정 QR 코드를 어디든 공유한 적이 있다면(Discord, Reddit, Twitter, Facebook 등), 즉시 게이트웨이 토큰을 교체해야 합니다.

플러그인 자동 로드 취약점

두 번째 취약점은 저장소가 복제될 때 작업 공간 플러그인이 자동으로 로드되고 실행되는 문제였습니다. 시스템은 사용자 확인을 요청하거나 출처를 신뢰할 수 있는지 확인하지 않고 플러그인을 실행했습니다. 이 문제도 v2026.3.12에서 수정되었습니다.

노출 통계

지난주 SecurityScorecard 데이터에 따르면, 공개 인터넷에 노출된 OpenClaw 인스턴스가 40,000개 이상 있습니다. 이 중 약 12,000개는 원격 코드 실행(RCE) 취약점을 통해 악용 가능했습니다. 실제 숫자는 현재 더 높을 가능성이 있습니다.

OpenClaw를 실행 중이라면, 이러한 보안 문제를 해결하기 위해 최신 버전으로 즉시 업데이트해야 합니다.

📖 Read the full source: r/openclaw

Ad

👀 See Also

Claude Code 소스 코드가 NPM 맵 파일을 통해 유출된 것으로 알려졌습니다
Security

Claude Code 소스 코드가 NPM 맵 파일을 통해 유출된 것으로 알려졌습니다

@Fried_rice의 트윗에 따르면 Claude Code의 소스 코드가 NPM 레지스트리의 맵 파일을 통해 유출된 것으로 보입니다. 이에 대한 HN 토론은 93점과 35개의 댓글이 달려 있어 개발자들의 높은 관심을 보여줍니다.

OpenClawRadar
Smart Bash Permission Hook for Claude Code Prevents Compound Command Bypass
Security

Smart Bash Permission Hook for Claude Code Prevents Compound Command Bypass

A Python PreToolUse hook addresses a security gap in Claude Code's permission system where compound bash commands could bypass allow/deny patterns. The script decomposes commands into sub-commands and checks each individually against existing permission rules.

OpenClawRadar
클로드 케이지: 클로드 코드 보안을 위한 도커 샌드박스
Security

클로드 케이지: 클로드 코드 보안을 위한 도커 샌드박스

한 개발자가 Claude Cage라는 Docker 컨테이너를 만들어 Claude Code를 단일 작업 공간 폴더로 격리시켜 SSH 키, AWS 자격 증명, 개인 파일에 대한 접근을 차단했습니다. 이 설정에는 보안 규칙이 포함되어 있으며 Docker가 설치된 상태에서 약 2분 정도 소요됩니다.

OpenClawRadar
OpenClaw绕过安全限制覆盖配置文件
Security

OpenClaw绕过安全限制覆盖配置文件

한 사용자가 OpenClaw의 보안 제한을 복사 및 파일 교체 방식으로 우회했다고 보고했습니다. 에이전트가 직접 편집은 거부했지만 간접적인 덮어쓰기는 허용했습니다.

OpenClawRadar