유니폼 가드 문제: 에이전트 샌드박스에 정책뿐만 아니라 신원이 필요한 이유

유니폼 가드 문제는 Nemoclaw의 openshell과 같은 AI 에이전트 샌드박스의 치명적인 결함을 지적합니다: 보안 정책이 에이전트가 아닌 바이너리에 범위가 지정된다는 점입니다. 이로 인해 Shai-Hulud 변종과 같은 malware가 에이전트가 실행하도록 허용된 동일한 바이너리를 재사용하여 live-off-the-land를 수행할 수 있습니다. 제안된 해결책은 오픈소스 에이전트 식별 레이어인 ZeroID이며, 현재 ClawHub에서 스킬로, 그리고 대역 외 제어를 위한 사이드카로 사용 가능합니다.
핵심 문제: 바이너리 범위 정책
Nemoclaw의 openshell 샌드박스는 바이너리 수준에서 정책을 시행합니다. 예를 들어, 에이전트가 /usr/bin/curl을 실행할 수 있다면, 해당 바이너리를 가진 모든 프로세스( malware 포함)가 이를 실행할 수 있습니다. 이는 악성 페이로드가 에이전트의 허용 도구를 사용하여 임의 코드를 다운로드하고 실행할 수 있음을 의미합니다. 샌드박스는 합법적인 에이전트 작업과 동일한 바이너리를 사용하는 malware 작업을 구별하는 메커니즘을 제공하지 않습니다.
해결책: 에이전트 기반 식별
ZeroID는 보안을 바이너리 범위 정책에서 에이전트 범위 정책으로 전환합니다. 각 에이전트는 암호화 식별을 부여받고, 정책은 해당 식별을 기반으로 적용됩니다. 이는 malware가 에이전트의 식별이 없으므로 에이전트가 허용한 바이너리를 악용하는 것을 방지합니다. 식별 레이어는 두 가지 모드로 작동할 수 있습니다:
- ClawHub 스킬: ZeroID를 ClawHub에서 스킬로 설치—인프라 변경 불필요.
- 사이드카 통합: ZeroID를 사이드카 프로세스로 실행하여 대역 외 제어, 시스템 호출을 가로채고 실행 전에 식별을 검증.
구현 세부 사항
소스에 따르면, ZeroID는 오픈소스이며 현재 Openclaw와 통합됩니다. 팀은 커뮤니티가 이를 테스트하고 Openclaw 통합 확장을 돕도록 초대합니다. 소스에는 버전 번호나 코드 조각이 제공되지 않았지만, 사이드카 아키텍처는 에이전트의 런타임 환경에 연결되는 경량 데몬을 암시합니다.
대상 사용자
Openclaw에서 AI 코딩 에이전트를 실행하며 바이너리 수준 샌드박싱을 우회하는 malware에 대한 강력한 격리가 필요한 개발자.
📖 전체 소스 읽기: r/openclaw
👀 See Also

OpenClaw 보안 우려: 기본 셀프 호스팅 설정에서 API 키와 대화 데이터가 위험에 노출됨
시스코 보고서에 따르면 OpenClaw 보안은 '선택 사항이며 내장되어 있지 않다'고 지적하며, 기본 구성에서는 API 키를 VPS 인스턴스의 .env 파일에 저장하여 기본 드롭렛에서 실행하는 비기술적 사용자에게 잠재적 노출 위험을 초래한다.

내부 RAG 및 문서 채팅 도구가 보안 감사에서 실패하는 이유
커뮤니티에서 실제 보안 및 규정 준수 장애물로 인해 RAG 도구가 프로덕션에 도달하지 못하는 이유를 논의합니다.

Tailscale 등을 사용하여 VPS에 OpenClaw를 안전하게 셀프 호스팅하기
Tailscale, fail2ban, UFW 등을 사용하여 VPS에서 OpenClaw를 안전하게 설정하고 공개 노출을 피하며 방어력을 강화하세요.

OpenClaw의 ClawHub 마켓플레이스에서 820개의 악성 스킬 발견
보안 연구원들은 OpenClaw의 ClawHub 마켓플레이스에서 키로거, 데이터 유출 스크립트, 숨겨진 셸 명령어를 포함한 확인된 악성코드를 담고 있는 820개의 스킬을 식별했습니다. 이러한 스킬은 코드를 실행하고 로컬 환경과 상호작용할 수 있어 공급망 보안 위험을 초래합니다.