유니폼 가드 문제: 에이전트 샌드박스에 정책뿐만 아니라 신원이 필요한 이유
유니폼 가드 문제는 Nemoclaw의 openshell과 같은 AI 에이전트 샌드박스의 치명적인 결함을 지적합니다: 보안 정책이 에이전트가 아닌 바이너리에 범위가 지정된다는 점입니다. 이로 인해 Shai-Hulud 변종과 같은 malware가 에이전트가 실행하도록 허용된 동일한 바이너리를 재사용하여 live-off-the-land를 수행할 수 있습니다. 제안된 해결책은 오픈소스 에이전트 식별 레이어인 ZeroID이며, 현재 ClawHub에서 스킬로, 그리고 대역 외 제어를 위한 사이드카로 사용 가능합니다.
핵심 문제: 바이너리 범위 정책
Nemoclaw의 openshell 샌드박스는 바이너리 수준에서 정책을 시행합니다. 예를 들어, 에이전트가 /usr/bin/curl을 실행할 수 있다면, 해당 바이너리를 가진 모든 프로세스( malware 포함)가 이를 실행할 수 있습니다. 이는 악성 페이로드가 에이전트의 허용 도구를 사용하여 임의 코드를 다운로드하고 실행할 수 있음을 의미합니다. 샌드박스는 합법적인 에이전트 작업과 동일한 바이너리를 사용하는 malware 작업을 구별하는 메커니즘을 제공하지 않습니다.
해결책: 에이전트 기반 식별
ZeroID는 보안을 바이너리 범위 정책에서 에이전트 범위 정책으로 전환합니다. 각 에이전트는 암호화 식별을 부여받고, 정책은 해당 식별을 기반으로 적용됩니다. 이는 malware가 에이전트의 식별이 없으므로 에이전트가 허용한 바이너리를 악용하는 것을 방지합니다. 식별 레이어는 두 가지 모드로 작동할 수 있습니다:
- ClawHub 스킬: ZeroID를 ClawHub에서 스킬로 설치—인프라 변경 불필요.
- 사이드카 통합: ZeroID를 사이드카 프로세스로 실행하여 대역 외 제어, 시스템 호출을 가로채고 실행 전에 식별을 검증.
구현 세부 사항
소스에 따르면, ZeroID는 오픈소스이며 현재 Openclaw와 통합됩니다. 팀은 커뮤니티가 이를 테스트하고 Openclaw 통합 확장을 돕도록 초대합니다. 소스에는 버전 번호나 코드 조각이 제공되지 않았지만, 사이드카 아키텍처는 에이전트의 런타임 환경에 연결되는 경량 데몬을 암시합니다.
대상 사용자
Openclaw에서 AI 코딩 에이전트를 실행하며 바이너리 수준 샌드박싱을 우회하는 malware에 대한 강력한 격리가 필요한 개발자.
📖 전체 소스 읽기: r/openclaw
👀 See Also
아이언클로의 AI 에이전트 안전을 위한 보안 우선 접근법
IronClaw는 안전한 행동을 위해 LLM 지능에 의존하는 대신 제한된 실행, 암호화된 환경, 명시적 권한을 구현하여 AI 에이전트 보안 문제를 해결합니다.
NPM 및 PyPI 공급망 대규모 공격, TanStack, Mistral AI 및 170개 이상 패키지에 영향
조율된 공격으로 170개 이상의 npm 패키지와 2개의 PyPI 패키지가 손상되었으며, TanStack(42개 패키지), Mistral AI SDK, UiPath, OpenSearch 및 Guardrails AI를 표적으로 삼았습니다. 악성 버전은 자격 증명을 유출하고 클라우드 메타데이터를 탐지하는 드로퍼를 실행합니다.
클로드를 사용하여 OpenClaw 설정을 감사하면 보안 문제가 드러납니다
한 개발자가 Claude를 사용해 OpenClaw 설치를 검토한 결과, 봇이 메모리와 JSON 파일에 API 키를 평문으로 기록하고 있었으며, 다른 보안 문제들도 발견되었습니다.
ClawGuard: OpenClaw API 자격 증명 보호를 위한 오픈소스 보안 게이트웨이
ClawGuard는 AI 에이전트와 외부 API 사이에 위치하는 보안 게이트웨이로, 에이전트 머신에는 더미 자격 증명을 사용하면서 실제 토큰은 별도로 저장합니다. 민감한 호출에 대해 Telegram 승인을 제공하고 요청의 감사 추적을 유지합니다.