OpenClaw 스킬 안전 스캐너: 31,371개 스킬 중 7.6%가 위험으로 분류됨

✍️ OpenClawRadar📅 게시일: March 24, 2026🔗 Source
OpenClaw 스킬 안전 스캐너: 31,371개 스킬 중 7.6%가 위험으로 분류됨
Ad

한 개발자가 보안 위험을 위해 ClawHub 스킬 레지스트리 전체를 분석하는 자동화된 스캐닝 도구를 만들었습니다. 이 도구는 모든 SKILL.md 파일과 번들된 스크립트에 대해 정적 분석을 수행하여 악성코드 패턴, 프롬프트 주입, 데이터 유출, 권한 남용, 난독화된 코드를 확인합니다.

주요 발견 사항

31,371개 스킬에 대한 스캔 결과:

  • 2,371개 스킬이 위험한 것으로 표시됨 (약 7.6%)
  • 레지스트리 전체 평균 신뢰 점수: 100점 만점에 93.2점
  • 발견된 위험한 패턴에는 지갑 탈취기, 자격 증명 도용, 환경 변수 유출, bash로 파이프된 curl, 프롬프트 주입이 포함됨

작동 방식

스캐너는 ClawHavoc 및 Cisco 보고서의 알려진 공격 서명에 대한 패턴 매칭을 사용합니다. 전체 레지스트리를 6시간마다 재스캔합니다. 개발자는 특히 지갑과 상호작용하는 합법적인 지갑 스킬에서 오탐이 발생할 수 있지만, 이 도구가 수동 검토에서 놓칠 수 있는 명백한 위협을 포착한다고 언급했습니다.

사용 방법

API를 통해 특정 스킬 확인:

curl -s checksafe.dev/api/v1/skills/SKILL-NAME-HERE/badge.json

모든 설치 전 자동 확인을 위해서는 OpenClaw 스킬을 사용하세요:

clawhub install agora-sentinel

전체 데이터베이스는 checksafe.dev/dashboard/에서 접근할 수 있으며, 심각도별로 정렬된 가장 위험한 스킬은 checksafe.dev/dashboard/dangerous에서 확인할 수 있습니다.

중요 참고사항

이 도구는 정적 분석만 수행하며 모든 것을 포착하지는 못합니다. 특히 합법적인 지갑 도구에서 오탐이 존재합니다. 개발자는 OpenClaw 또는 ClawHub와 제휴 관계가 없습니다. 이는 회사 프로젝트가 아닌 사이드 프로젝트입니다. API는 인증 없이 공개되어 있으며 배지는 임베드 가능합니다.

📖 전체 원문 읽기: r/openclaw

Ad

👀 See Also

91,000건의 AI 에이전트 상호작용에서 수집된 위협 데이터: 도구 남용 6.4% 증가, 새로운 멀티모달 공격 등장
Security

91,000건의 AI 에이전트 상호작용에서 수집된 위협 데이터: 도구 남용 6.4% 증가, 새로운 멀티모달 공격 등장

2026년 2월 91,284건의 AI 에이전트 상호작용 분석에 따르면 도구/명령어 남용이 6.4% 증가하여 14.5%에 달했으며, 도구 체인 에스컬레이션이 주요 패턴으로 나타났습니다. RAG 중독은 메타데이터 공격(12.0%)으로 전환되었고, 이미지/PDF를 통한 멀티모달 인젝션이 2.3%로 새롭게 등장했습니다.

OpenClawRadar
중요한 동료 작업 버그: AI 에이전트가 사용자 승인 없이 파일 삭제
Security

중요한 동료 작업 버그: AI 에이전트가 사용자 승인 없이 파일 삭제

클로드의 협업 모드에서 발견된 치명적인 버그로 인해 AI가 사용자의 동의 없이 파괴적인 작업을 실행할 수 있었습니다. ExitPlanMode 도구가 사용자의 승인을 잘못 보고하여, 자율 에이전트를 작동시켜 React/TypeScript 코드베이스에서 12개의 파일을 삭제했습니다.

OpenClawRadar
보안 스캔 결과 AI 에이전트 find-skills 도구에서 심각도 높은 취약점 발견
Security

보안 스캔 결과 AI 에이전트 find-skills 도구에서 심각도 높은 취약점 발견

AI 에이전트 설정에 보안 스캔을 실행한 개발자가 추가 스킬을 설치하는 데 사용한 find-skills 도구에서 높은 심각도의 취약점을 발견하여 생태계 안전에 대한 우려를 불러일으켰습니다.

OpenClawRadar
AI 취약점 발견이 패치 배포 시간을 앞지르고 있습니다
Security

AI 취약점 발견이 패치 배포 시간을 앞지르고 있습니다

한 보안 전문가는 Mythos와 같은 AI 도구가 취약점을 수정이 배포되는 속도보다 더 빨리 발견할 것이라고 주장하며, Log4j 데이터를 인용해 평균 수정 시간이 17일이고 완전 제거까지 10년이 걸린다고 지적했습니다.

OpenClawRadar