OpenClaw 보안 취약점: 2026.3.28에 패치된 치명적 프레임워크 결함

✍️ OpenClawRadar📅 게시일: April 1, 2026🔗 Source
OpenClaw 보안 취약점: 2026.3.28에 패치된 치명적 프레임워크 결함
Ad

OpenClaw 프레임워크의 심각한 보안 취약점

앤트 AI 보안 연구소는 OpenClaw의 핵심 프레임워크에 대해 3일간의 감사를 수행하고 33개의 취약점 보고서를 제출했습니다. 이 중 8개의 취약점은 2026.3.28 릴리스에서 패치되었으며, 일반적으로 논의되는 프롬프트 인젝션 및 악성 스킬 위험 이상의 중요한 아키텍처 보안 문제를 드러냈습니다.

식별된 구체적인 취약점

  • 도구 매개변수를 통한 샌드박스 우회: 버전 <= 2026.3.24에서 message 도구는 샌드박스 검증을 우회하는 mediaUrlfileUrl 별칭을 허용합니다. 이로 인해 샌드박스에 제한된 에이전트가 이러한 별칭 매개변수를 통해 임의의 로컬 파일을 읽을 수 있어 효과적으로 격리가 깨집니다.
  • 디바이스 페어링을 통한 권한 상승: /pair approve 명령 경로는 호출자 범위를 핵심 검사로 전달하지 않고 디바이스 승인을 호출했습니다. 기본 페어링 권한을 가진 사용자는 전체 관리자 액세스를 포함한 더 넓은 범위를 요청하는 보류 중인 디바이스 요청을 승인하여 자신이 갖지 않은 권한을 부여할 수 있었습니다.
  • 토큰 취소 후 세션 지속성: 토큰이 취소되면 게이트웨이는 이미 인증된 WebSocket 세션을 연결 해제하지 않고 저장된 자격 증명만 업데이트합니다. 취소된 디바이스는 연결이 자연스럽게 끊길 때까지 라이브 세션을 계속 사용할 수 있습니다.
  • 이미지 제공자의 SSRF 취약점: 이미지 생성을 위한 fal 제공자는 API 트래픽과 이미지 다운로드 모두에 대해 SSRF 보호된 가져오기 경로를 건너뛰고 원시 가져오기를 사용합니다. 악성 릴레이는 게이트웨이가 내부 URL을 가져오도록 강제하고 이미지 파이프라인을 통해 내부 서비스 응답을 노출시킬 수 있습니다.
  • 허용 목록 저하: 경로 수준 그룹 허용 목록(예: Google Chat 또는 Zalo용)은 그룹 정책을 유지하는 대신 allowlist에서 open으로 자동으로 다운그레이드되었습니다. 허용 목록에 지정된 공간의 모든 구성원이 발신자 수준 제한을 무시하고 봇과 상호 작용할 수 있었습니다.
Ad

필요한 즉각적인 조치

  • OpenClaw 버전을 확인하세요. 2026.3.28 미만인 경우 즉시 업데이트하십시오.
  • 예기치 않은 관리자 권한 부여에 대한 페어링 로그를 검토하십시오.
  • 최근에 토큰을 취소한 경우 게이트웨이를 강제로 재시작하여 남아 있는 WebSocket 세션을 종료하십시오.

앤트 AI 보안 연구소의 감사는 많은 관심이 LLM 동작에 집중되는 반면, 기본 프레임워크의 신뢰 경계와 매개변수 검증도 보안에 동등하게 중요하다는 점을 강조합니다. 감사에서 나온 모든 8개의 권고 사항은 OpenClaw GitHub 보안 탭에서 공개적으로 확인할 수 있습니다.

📖 Read the full source: r/openclaw

Ad

👀 See Also

TEE 인클레이브를 사용한 암호화된 LLM 추론을 위한 OpenClaw 구성
Security

TEE 인클레이브를 사용한 암호화된 LLM 추론을 위한 OpenClaw 구성

개발자가 OpenClaw를 Onera의 AMD SEV-SNP 신뢰 실행 환경을 사용하여 종단 간 암호화된 LLM 추론을 구성한 방법을 공유하며, 구성 예시와 기술적 장단점을 포함합니다.

OpenClawRadar
OpenClaw의 프롬프트 인젝션 방어를 위한 외부 콘텐츠 래퍼
Security

OpenClaw의 프롬프트 인젝션 방어를 위한 외부 콘텐츠 래퍼

OpenClaw는 외부 콘텐츠 래퍼를 사용하여 웹 검색 결과, API 응답 및 유사한 콘텐츠를 자동으로 경고 태그와 함께 표시하여, 이 콘텐츠가 신뢰할 수 없음을 알리고 LLM이 악의적인 지시를 거부할 가능성을 높입니다.

OpenClawRadar
샌드박싱 없이 로컬 OpenClaw 인스턴스에 대한 보안 경고
Security

샌드박싱 없이 로컬 OpenClaw 인스턴스에 대한 보안 경고

레딧 게시글에 따르면 적절한 격리 없이 로컬에서 바닐라 OpenClaw 인스턴스를 실행하면 API 키 노출, 의도치 않은 파일 삭제, 데이터 유출 등의 문제가 발생할 수 있다고 경고합니다. 출처에서는 bash 도구를 샌드박싱하거나 관리형 서비스를 사용할 것을 권장합니다.

OpenClawRadar
LLM은 익명 포럼 사용자를 90% 정밀도로 68% 정확도로 식별할 수 있습니다.
Security

LLM은 익명 포럼 사용자를 90% 정밀도로 68% 정확도로 식별할 수 있습니다.

연구진이 Hacker News와 Reddit의 게시물을 분석하기 위해 Gemini와 ChatGPT를 사용하여 90% 정확도로 익명 사용자의 68%를 식별했습니다. 이 모델들은 인간이 몇 시간이 걸리거나 불가능한 작업을 몇 분 만에 완료했습니다.

OpenClawRadar