OpenClaw 스킬 분석기: AI 에이전트 스킬용 정적 보안 스캐너

OpenClaw 개발자가 설치 전에 스킬의 악성 코드를 분석하는 보안 스캐너를 공개했습니다. 이 도구는 올해 초 ClawHub에서 발견된 341개의 악성 스킬에 대한 대응으로 만들어졌습니다.
작동 방식
이 분석기는 스킬 폴더에 대해 정적 분석을 수행하고 명확한 위험 등급(SAFE, LOW, MEDIUM, HIGH, CRITICAL)을 제공합니다. 스킬 폴더를 지정하면 자동으로 검사를 실행합니다.
탐지 기능
이 스캐너는 12개 범주에 걸쳐 40개 이상의 탐지 규칙을 포함합니다. 출처에서 언급된 구체적인 탐지 유형은 다음과 같습니다:
- 프롬프트 인젝션
- 데이터 유출
- 자격 증명 도용
- 백도어
- 난독화
이 도구는 https://github.com/papichulomami/openclaw-skill-analyzer에서 GitHub를 통해 이용할 수 있습니다.
이러한 유형의 보안 도구는 특히 AI 코딩 에이전트와 작업하는 개발자에게 유용합니다. 제대로 검증되지 않은 타사 스킬은 상당한 보안 위험을 초래할 수 있기 때문입니다.
📖 전체 출처 읽기: r/openclaw
👀 See Also

FastCGI: 30년, 여전히 리버스 프록시를 위한 최고의 프로토콜
FastCGI는 명시적인 메시지 프레이밍과 별도의 매개변수 채널을 사용하여 HTTP 역직렬화 공격과 신뢰할 수 없는 헤더 문제를 방지하므로 프록시-백엔드 통신에 더 안전한 선택입니다.

AI가 두 취약점 문화를 깨고 있다: 조정된 공개 vs 리눅스의 "버그는 버그일 뿐"
Jeff Kaufman은 최근 Copy Fail (ESP) 취약점을 사례로 들어 AI 기반 취약점 발견이 조정된 공개(coordinated disclosure)와 리눅스의 조용한 수정 문화를 어떻게 파괴하고 있는지 분석합니다.

악성 PyTorch Lightning 패키지, 자격 증명 탈취 및 npm 패키지 웜 공격
PyPI 패키지 'lightning' 버전 2.6.2 및 2.6.3에 Shai-Hulud 테마의 악성코드가 포함되어 자격 증명, 토큰, 클라우드 비밀을 탈취하고, 주입된 JavaScript 페이로드를 통해 npm 패키지로 확산됩니다.

공급망 공격은 탐지를 우회하기 위해 보이지 않는 유니코드 코드를 사용합니다.
연구진이 3월 3일부터 9일까지 GitHub에 업로드된 151개의 악성 패키지를 발견했습니다. 이 패키지들은 보이지 않는 유니코드 문자를 사용하여 악성 코드를 숨기고 있습니다. 이 공격은 GitHub, NPM, Open VSX 저장소를 대상으로 하며, 합법적으로 보이지만 숨겨진 페이로드를 포함하는 패키지를 사용합니다.