Google 검색을 통해 라이브 대시보드를 노출하는 보안되지 않은 페이퍼클립 인스턴스

✍️ OpenClawRadar📅 게시일: April 14, 2026🔗 Source
Google 검색을 통해 라이브 대시보드를 노출하는 보안되지 않은 페이퍼클립 인스턴스
Ad

한 레딧 사용자가 자신의 OpenClaw 에이전트와 관련된 오류를 검색하던 중 우연히 라이브 페이퍼클립 대시보드에 접근했다고 보고했습니다. 오류를 구글에서 검색하고 첫 번째 결과를 클릭하자, 인증 없이도 다른 사람의 완전한 페이퍼클립 인터페이스가 즉시 표시되었습니다.

노출된 내용

노출된 대시보드에는 다음이 포함되어 있었습니다:

  • 전체 조직도
  • 활성 이슈 및 작업 할당
  • 에이전트 대화 및 구성
  • 비즈니스 계획 및 마케팅 전략
  • 작업 기록 및 잠재적 API 키

사용자는 "그의 전체 마케팅 계획, 그의 전체 비즈니스 모델"을 읽을 수 있었다고 언급하며, 이 상황을 "당신의 전체 조직, 에이전트 구성, API 키, 작업 기록 — 모든 것이 공개되어 있다"고 설명했습니다.

흔한 보안 설정 오류

출처에 따르면, 이러한 노출은 페이퍼클립 인스턴스가 다음과 같은 특징을 가질 때 발생합니다:

  • 공개 도메인 또는 IP 주소에 노출됨
  • local_trusted 모드에서 실행 중
  • Basic Auth 또는 로그인 계층 없이 운영됨

사용자는 페이퍼클립의 자체 호스팅 특성이 완전한 통제권을 제공하지만, 동시에 "보안을 책임져야 한다"는 점을 강조했습니다. 부적절하게 보안된 인스턴스는 검색 엔진에 색인될 수 있는 "회사 전체의 우발적 오픈소스 인텔리전스 피드"를 생성한다고 경고했습니다.

출처의 핵심 권장사항은 간단합니다: "인증 없이 공개 도메인에 노출하지 마세요."

📖 Read the full source: r/openclaw

Ad

👀 See Also

클로드 코드, 권한 철회 후에도 로깅 세션 지속…사용자 2주간 지원 침묵 신고
Security

클로드 코드, 권한 철회 후에도 로깅 세션 지속…사용자 2주간 지원 침묵 신고

Claude Code 사용자가 접근 권한을 해지한 후에도 세션 로그가 계속 나타났으며, Anthropic 지원팀이 2주 동안 응답하지 않았다고 보고했습니다. 로그에는 user:file_upload, user:ccr_inference, user:sessions:claude_code와 같은 범위가 포함되었습니다.

OpenClawRadar
클로드의 보안 검토 명령어는 프로덕션 시스템에 사용하기에는 제한이 있습니다.
Security

클로드의 보안 검토 명령어는 프로덕션 시스템에 사용하기에는 제한이 있습니다.

한 개발자가 Claude의 보안 검토 명령어가 MIME 유형과 파일 크기 제한과 같은 기본적인 검증에는 유용했지만, 정교한 위협에 대비한 프로덕션 강화에는 부족하다는 점을 발견했습니다. 해결책은 파일 처리를 제한된 권한을 가진 격리된 워커로 분리하는 2주간의 아키텍처 개편이 필요했습니다.

OpenClawRadar
Gemini-Cli 및 Gemini Pro 구독과 함께 Google 계정 사용의 위험성 탐구
Security

Gemini-Cli 및 Gemini Pro 구독과 함께 Google 계정 사용의 위험성 탐구

Gemini-Cli와 Gemini Pro 구독이 Google 계정에 일부 위험을 초래할 수 있습니다. 이러한 AI 도구를 사용할 때 발생할 수 있는 취약점에 대해 알아야 할 사항은 다음과 같습니다.

OpenClawRadar
A2A 보안: 개발자가 OpenClaw 에이전트 간 암호화 통신을 구축한 방법
Security

A2A 보안: 개발자가 OpenClaw 에이전트 간 암호화 통신을 구축한 방법

새로운 프로토콜이 Ed25519 서명을 사용하여 공유 API 키 없이도 OpenClaw 에이전트 간의 안전한 통신을 가능하게 합니다.

OpenClaw Radar