스킬 애널라이저가 ClawHub에서 사용 가능해졌으며, 단일 명령어로 설치할 수 있습니다.

AI 스킬용 보안 스캐너인 OpenClaw Skill Analyzer가 이제 간소화된 설치 과정으로 ClawHub에서 이용 가능합니다. 이전에는 GitHub에서만 제공되었으나, 이제 사용자는 단일 명령어로 설치할 수 있습니다.
설치 및 기능
ClawHub에서 Skill Analyzer를 설치하려면 다음을 실행하세요:
npx clawhub@latest install openclaw-skill-analyzer이 도구는 프롬프트 주입, 자격 증명 도난, 데이터 유출, 백도어, 난독화를 포함한 잠재적 악성 패턴을 모든 스킬 폴더에서 검사합니다. 설치 전 위험 등급을 제공하며 12개 범주에 걸쳐 40개 이상의 탐지 규칙을 포함합니다.
보안 기능
주요 보안 기능은 Docker 샌드박스 지원입니다. 스캔은 다음 조건의 Docker 컨테이너 내에서 실행될 수 있습니다:
- 네트워크 접근 불가
- 읽기 전용 파일 시스템
- 256MB 메모리 제한
- 각 스캔 후 컨테이너 파괴
이는 잠재적 악성 스킬을 시스템으로부터 격리시킵니다. README에는 이 샌드박스 실행을 위한 한 줄짜리 Docker 명령어가 포함되어 있습니다.
개발 현황
이 도구는 실제 환경에서 새로운 악성 패턴이 발견될 때마다 업데이트되며 적극적으로 유지보수되고 있습니다. 개발자는 도구가 아직 탐지하지 못하는 패턴에 대한 보고를 환영합니다.
참고: Skill Analyzer를 설치할 때 ClawHub가 경고를 표시할 수 있는데, 이는 스캐너가 자체 탐지 패턴을 플래그하기 때문입니다.
📖 전체 원문 읽기: r/openclaw
👀 See Also

OpenClaw 사용자가 에이전트 자율성과 웹 보안 균형 맞추기 전략 공유
OpenClaw 사용자가 현재 직면한 과제를 설명합니다: 웹 접근과 프롬프트 인젝션 위험과 관련하여 에이전트 자율성과 보안 사이의 균형을 맞추는 것. 그들은 '낮은 신뢰'와 '높은 신뢰' 에이전트 구분과 인간 승인 단계를 활용한 해결책을 제안합니다.

클로드 코드 VS Code 확장이 닫힌 파일과 새 세션 간 선택 상태를 유출
Claude Code의 VS Code 익스텐션 버그로 인해 파일을 닫은 후에도 파일 선택 상태가 캐시되어, 새로운 CLI 세션에서 민감한 데이터(예: Supabase 서비스 역할 키)가 노출됩니다. 전체 재현 단계 및 GitHub 이슈 #58886.

클로드 코드, 권한 철회 후에도 로깅 세션 지속…사용자 2주간 지원 침묵 신고
Claude Code 사용자가 접근 권한을 해지한 후에도 세션 로그가 계속 나타났으며, Anthropic 지원팀이 2주 동안 응답하지 않았다고 보고했습니다. 로그에는 user:file_upload, user:ccr_inference, user:sessions:claude_code와 같은 범위가 포함되었습니다.

OpenClaw API 키 보안: 관리형 호스팅과 TEE에 대해 알아야 할 사항
레딧 게시글이 관리형 OpenClaw 호스트에 Anthropic API 키를 넘길 때의 위험을 분석하고, TEE(Intel TDX)가 하드웨어 수준에서 키를 격리하는 방법을 설명합니다.