Google 검색을 통해 라이브 대시보드를 노출하는 보안되지 않은 페이퍼클립 인스턴스

한 레딧 사용자가 자신의 OpenClaw 에이전트와 관련된 오류를 검색하던 중 우연히 라이브 페이퍼클립 대시보드에 접근했다고 보고했습니다. 오류를 구글에서 검색하고 첫 번째 결과를 클릭하자, 인증 없이도 다른 사람의 완전한 페이퍼클립 인터페이스가 즉시 표시되었습니다.
노출된 내용
노출된 대시보드에는 다음이 포함되어 있었습니다:
- 전체 조직도
- 활성 이슈 및 작업 할당
- 에이전트 대화 및 구성
- 비즈니스 계획 및 마케팅 전략
- 작업 기록 및 잠재적 API 키
사용자는 "그의 전체 마케팅 계획, 그의 전체 비즈니스 모델"을 읽을 수 있었다고 언급하며, 이 상황을 "당신의 전체 조직, 에이전트 구성, API 키, 작업 기록 — 모든 것이 공개되어 있다"고 설명했습니다.
흔한 보안 설정 오류
출처에 따르면, 이러한 노출은 페이퍼클립 인스턴스가 다음과 같은 특징을 가질 때 발생합니다:
- 공개 도메인 또는 IP 주소에 노출됨
- local_trusted 모드에서 실행 중
- Basic Auth 또는 로그인 계층 없이 운영됨
사용자는 페이퍼클립의 자체 호스팅 특성이 완전한 통제권을 제공하지만, 동시에 "보안을 책임져야 한다"는 점을 강조했습니다. 부적절하게 보안된 인스턴스는 검색 엔진에 색인될 수 있는 "회사 전체의 우발적 오픈소스 인텔리전스 피드"를 생성한다고 경고했습니다.
출처의 핵심 권장사항은 간단합니다: "인증 없이 공개 도메인에 노출하지 마세요."
📖 Read the full source: r/openclaw
👀 See Also

오픈클로우 맞춤 설정: 비용 절감과 보안 강화
r/openclaw 서브레딧에서 논의된 바와 같이, OpenClaw를 맞춤화하여 비용을 절감하고 보안을 강화하는 방법을 알아보세요.

SupraWall MCP 플러그인, 로컬 AI 에이전트의 프롬프트 인젝션 공격 차단
SupraWall은 AI 에이전트의 민감한 데이터 유출 시도를 차단하는 MCP 플러그인으로, 프롬프트 인젝션 공격을 통한 자격 증명 유출을 방지한 레드팀 챌린지에서 입증되었습니다.

CVE-2026-LGTM: AI 에이전트들이 서로를 신뢰할 때 모든 것이 망가진다
7개의 AI 보안 게이트가 악성 패키지를 막지 못해 자격 증명이 유출되고 170만 달러의 추론 비용이 발생한 풍자적이지만 현실적인 사고 보고서입니다.

클로드 코드, 기술 감사 중 GitHub 저장소에서 악성 백도어 식별
한 개발자가 실행 전에 Claude Code를 사용해 GitHub 저장소를 감사하여 src/server/routes/auth.js에 원격 코드 실행 백도어를 발견했고, 이로 인해 자신의 컴퓨터가 손상될 뻔했습니다. 프롬프트는 프로젝트 완성도, AI/ML 레이어, 데이터베이스, 인증, 백엔드 서비스, 프론트엔드, 코드 품질 및 작업량 추정을 확인하는 기술적 실사 감사를 요청했습니다.