OpenClaw 보안 취약점: 2026.3.28에 패치된 치명적 프레임워크 결함

OpenClaw 프레임워크의 심각한 보안 취약점

앤트 AI 보안 연구소는 OpenClaw의 핵심 프레임워크에 대해 3일간의 감사를 수행하고 33개의 취약점 보고서를 제출했습니다. 이 중 8개의 취약점은 2026.3.28 릴리스에서 패치되었으며, 일반적으로 논의되는 프롬프트 인젝션 및 악성 스킬 위험 이상의 중요한 아키텍처 보안 문제를 드러냈습니다.

식별된 구체적인 취약점

• 도구 매개변수를 통한 샌드박스 우회: 버전 <= 2026.3.24에서 message 도구는 샌드박스 검증을 우회하는 mediaUrl 및 fileUrl 별칭을 허용합니다. 이로 인해 샌드박스에 제한된 에이전트가 이러한 별칭 매개변수를 통해 임의의 로컬 파일을 읽을 수 있어 효과적으로 격리가 깨집니다.
• 디바이스 페어링을 통한 권한 상승: /pair approve 명령 경로는 호출자 범위를 핵심 검사로 전달하지 않고 디바이스 승인을 호출했습니다. 기본 페어링 권한을 가진 사용자는 전체 관리자 액세스를 포함한 더 넓은 범위를 요청하는 보류 중인 디바이스 요청을 승인하여 자신이 갖지 않은 권한을 부여할 수 있었습니다.
• 토큰 취소 후 세션 지속성: 토큰이 취소되면 게이트웨이는 이미 인증된 WebSocket 세션을 연결 해제하지 않고 저장된 자격 증명만 업데이트합니다. 취소된 디바이스는 연결이 자연스럽게 끊길 때까지 라이브 세션을 계속 사용할 수 있습니다.
• 이미지 제공자의 SSRF 취약점: 이미지 생성을 위한 fal 제공자는 API 트래픽과 이미지 다운로드 모두에 대해 SSRF 보호된 가져오기 경로를 건너뛰고 원시 가져오기를 사용합니다. 악성 릴레이는 게이트웨이가 내부 URL을 가져오도록 강제하고 이미지 파이프라인을 통해 내부 서비스 응답을 노출시킬 수 있습니다.
• 허용 목록 저하: 경로 수준 그룹 허용 목록(예: Google Chat 또는 Zalo용)은 그룹 정책을 유지하는 대신 allowlist에서 open으로 자동으로 다운그레이드되었습니다. 허용 목록에 지정된 공간의 모든 구성원이 발신자 수준 제한을 무시하고 봇과 상호 작용할 수 있었습니다.

필요한 즉각적인 조치

• OpenClaw 버전을 확인하세요. 2026.3.28 미만인 경우 즉시 업데이트하십시오.
• 예기치 않은 관리자 권한 부여에 대한 페어링 로그를 검토하십시오.
• 최근에 토큰을 취소한 경우 게이트웨이를 강제로 재시작하여 남아 있는 WebSocket 세션을 종료하십시오.

앤트 AI 보안 연구소의 감사는 많은 관심이 LLM 동작에 집중되는 반면, 기본 프레임워크의 신뢰 경계와 매개변수 검증도 보안에 동등하게 중요하다는 점을 강조합니다. 감사에서 나온 모든 8개의 권고 사항은 OpenClaw GitHub 보안 탭에서 공개적으로 확인할 수 있습니다.