OpenClaw 보안 패치로 QR 코드 자격 증명 노출 및 플러그인 자동 로드 취약점이 수정되었습니다.

OpenClaw에서 두 가지 심각한 보안 취약점 패치

OpenClaw가 플랫폼의 심각한 보안 취약점 두 가지를 해결하는 패치를 발표했습니다. 이 패치는 버전 2026.3.12에 포함되었으며, 전날 패치된 다른 보안 문제(GHSA-5wcw-8jjv-m286)에 이어 발표되었습니다.

QR 코드 페어링 취약점

새로운 장치를 설정하는 데 사용되는 QR 코드 페어링 시스템이 만료 기간 없는 영구 게이트웨이 자격 증명을 QR 코드에 직접 포함하고 있었습니다. 이는 QR 코드의 스크린샷을 찍은 사람이 에이전트가 할 수 있는 모든 작업에 영구적으로 접근할 수 있게 했습니다. 이 취약점은 v2026.3.12에서 수정되어 이제 임시 코드를 사용합니다.

설정 QR 코드를 어디든 공유한 적이 있다면(Discord, Reddit, Twitter, Facebook 등), 즉시 게이트웨이 토큰을 교체해야 합니다.

플러그인 자동 로드 취약점

두 번째 취약점은 저장소가 복제될 때 작업 공간 플러그인이 자동으로 로드되고 실행되는 문제였습니다. 시스템은 사용자 확인을 요청하거나 출처를 신뢰할 수 있는지 확인하지 않고 플러그인을 실행했습니다. 이 문제도 v2026.3.12에서 수정되었습니다.

노출 통계

지난주 SecurityScorecard 데이터에 따르면, 공개 인터넷에 노출된 OpenClaw 인스턴스가 40,000개 이상 있습니다. 이 중 약 12,000개는 원격 코드 실행(RCE) 취약점을 통해 악용 가능했습니다. 실제 숫자는 현재 더 높을 가능성이 있습니다.

OpenClaw를 실행 중이라면, 이러한 보안 문제를 해결하기 위해 최신 버전으로 즉시 업데이트해야 합니다.