중요한 OpenClaw 보안 취약점이 2026.3.28에 패치되었습니다.

OpenClaw 코어의 치명적 보안 문제

Ant AI Security Lab은 OpenClaw 프레임워크에서 33개의 취약점을 발견했으며, 2026.3.28 릴리스에서 8개의 치명적 문제가 패치되었습니다. 이러한 취약점들은 에이전트 배포 방식에 존재하는 근본적인 신뢰 경계 문제를 드러냅니다.

구체적 취약점과 그 영향

샌드박스 격리 우회

2026.3.24 이하 버전에서 message 도구는 샌드박스 검증을 우회하는 mediaUrl 및 fileUrl 별칭을 허용합니다. 이로 인해 샌드박스에 제한된 에이전트가 이러한 별칭 매개변수를 통해 임의의 로컬 파일을 읽을 수 있어 격리가 무효화됩니다.

디바이스 페어링을 통한 권한 상승

/pair approve 명령 경로는 호출자 범위를 코어 검사로 전달하지 않고 디바이스 승인을 호출했습니다. 이는 기본 페어링 권한을 가진 사용자가 전체 관리자 접근을 포함한 더 넓은 범위를 요청하는 대기 중인 디바이스 요청을 승인할 수 있음을 의미하며, 효과적으로 본인이 가지지 않은 권한을 스스로 부여할 수 있습니다.

토큰 취소 무효화

의심스러운 손상된 디바이스에 대해 토큰이 취소될 때, 게이트웨이는 이미 인증된 WebSocket 세션을 끊지 않고 저장된 자격 증명만 업데이트합니다. 취소된 디바이스는 연결이 자연스럽게 끊길 때까지 라이브 세션을 계속 사용할 수 있습니다.

이미지 제공자의 SSRF 취약점

fal 제공자를 사용하여 이미지를 생성할 때, API 트래픽과 이미지 다운로드 모두에 SSRF 보호된 가져오기 경로를 건너뛰고 원시 가져오기를 사용합니다. 이로 인해 악성 릴레이가 게이트웨이로 하여금 내부 URL을 가져오도록 강제하고 이미지 파이프라인을 통해 내부 서비스 응답을 노출시킬 수 있습니다.

허용 목록 저하

Google Chat이나 Zalo와 같은 플랫폼에 대한 경로 수준 그룹 허용 목록이 그룹 정책을 유지하는 대신 allowlist에서 open으로 조용히 다운그레이드되었습니다. 이로 인해 허용 목록이 지정된 공간의 모든 구성원이 발신자 수준 제한을 무시하고 봇과 상호작용할 수 있습니다.

즉시 필요한 조치

• OpenClaw 버전을 확인하세요. 2026.3.24 이하라면 즉시 2026.3.28로 업데이트하세요.
• 예상치 못한 관리자 권한 부여에 대한 페어링 로그를 검토하세요.
• 최근 토큰을 취소했다면 게이트웨이를 강제 재시작하여 남아있는 WebSocket 세션을 종료하세요.

Ant AI Security Lab의 감사는 프롬프트 주입과 같은 LLM 보안 위험에 많은 관심이 집중되는 반면, 프레임워크 자체의 매개변수 검증과 신뢰 경계가 치명적 취약점을 제시한다는 점을 드러냅니다. 감사에서 나온 8개의 모든 권고 사항은 OpenClaw GitHub 보안 탭에서 공개적으로 확인할 수 있습니다.