AI 기술 마켓플레이스: 오픈 레지스트리가 왜 보안 악몽인지

AI 스킬 마켓플레이스의 매력

AI 에이전트 스킬 마켓플레이스는 정말 좋은 아이디어입니다. 모든 자동화를 처음부터 끝까지 만들 필요 없이, 레지스트리를 탐색하고 미리 만들어진 스킬을 설치하면 에이전트가 몇 초 만에 새로운 기능을 갖게 됩니다. 이메일 분류, 일정 관리, 코드 리뷰, 데이터 파이프라인 오케스트레이션 등 – 커뮤니티에서 만든 스킬 덕분에 보일러플레이트를 건너뛰고 결과에 도달할 수 있습니다.

OpenClaw의 ClawHub 레지스트리에는 2026년 2월 기준으로 5,705개의 커뮤니티 제작 스킬이 있습니다. 카테고리는 암호화폐 거래와 DeFi 자동화부터 생산성 워크플로우와 소셜 미디어 관리까지 다양합니다. 성장은 현실입니다. 수요도 현실입니다. 사람들은 재사용 가능한 AI 에이전트 기능을 원하며, 단일 공급업체보다 더 빠르게 구축하는 커뮤니티에서 그것을 원합니다.

이 개념은 작동합니다. 구현이 문제입니다.

오픈 레지스트리의 문제

ClawHub는 오픈 레지스트리로 운영됩니다. 최소 한 주 이상 된 GitHub 계정이 있는 누구나 스킬을 게시할 수 있습니다. 코드 리뷰가 없습니다. 샌드박스도 없습니다. 검증 과정도 없습니다. SKILL.md 파일을 YAML 프론트 매터와 함께 작성하고 레지스트리에 푸시하면, 전 세계의 모든 OpenClaw 사용자에게 사용 가능해집니다.

이것은 npm과 PyPI가 공급망 공격이 산업 전반의 위기가 되기 전까지 수년간 사용했던 동일한 신뢰 모델입니다. 차이점은 AI 에이전트 스킬이 단순히 코드베이스에 가져오는 라이브러리가 아니라, 자율 에이전트가 전체 시스템 접근 권한으로 실행하는 지침이라는 점입니다. 악성 npm 패키지는 빌드 파이프라인을 손상시킬 수 있습니다. 악성 AI 에이전트 스킬은 실시간으로 전체 머신을 손상시킬 수 있습니다.

연구자들이 발견한 것

2026년 2월, Snyk은 ClawHub에서 341개의 확인된 악성 스킬을 문서화한 ToxicSkills 보고서를 발표했습니다. 그 중 335개는 가짜 전제 조건 검사를 사용하여 macOS 스틸러 악성코드를 설치했습니다 – 특히 비밀번호, 브라우저 쿠키, 암호화폐 지갑 및 키체인 데이터를 유출하는 잘 알려진 자격 증명 수집기인 Atomic Stealer (AMOS)입니다.

공격 패턴은 간단했습니다. 스킬은 전제 조건에 시스템 종속성을 선언했습니다. 사용자의 에이전트가 그 종속성을 충족하려고 시도할 때, 스틸러 바이너리를 다운로드하고 실행하는 셸 명령을 실행했습니다. 사용자는 프롬프트를 보지 못했습니다. 에이전트는 에이전트가 하는 대로 도움을 주려고 했습니다.

별도로, Snyk의 분석에 따르면 ClawHub 스킬의 36%가 프롬프트 주입을 포함하고 있습니다 – 에이전트의 행동을 조작하기 위해 스킬 정의에 숨겨진 지침이 포함되어 있습니다. 그리고 Cisco의 보안 팀은 독립적으로 데이터 유출을 시연했습니다 – 외부 서버로 대화 맥락을 조용히 전달하는 제3자 스킬을 통해서입니다.

이들은 이론적인 공격이 아닙니다. 문서화되어 확인되었으며, 일부는 여전히 레지스트리에 살아 있습니다.

공급망 공격은 새로운 벡터입니다

이것이 익숙하게 들린다면, 그럴 만합니다. 소프트웨어 산업은 지난 5년 동안 오픈 패키지 레지스트리가 공급망 공격의 주요 목표라는 것을 배웠습니다. npm의 악성 패키지. PyPI의 타이포 스쿼팅. 내부 레지스트리를 목표로 하는 종속성 혼란. 패턴은 잘 확립되어 있습니다: 공격자는 유용해 보이는 것을 게시하고, 예상치 못한 사용자가 설치하기를 기다린 다음, 페이로드를 실행합니다.

AI 에이전트 스킬 마켓플레이스는 이러한 모든 위험을 상속받으며, 새로운 위험도 추가됩니다: 스킬은 단순히 코드를 가져오는 것이 아니라, 시스템 접근 권한을 가진 자율 에이전트에 지시를 줍니다. 공격 표면은 빌드 서버가 아닙니다. 당신의 전체 머신입니다. 당신의 파일 시스템. 당신의 자격 증명. 당신의 브라우저 세션.

Computerworld가 OpenClaw를 “보안 악몽”이라고 부를 때, 그들은 과장하지 않았습니다. Gary Marcus가 “재앙이 일어날 준비가 되어 있다”고 말했을 때, 그 재앙은 이미 341번 발생했습니다.

안전한 스킬 마켓플레이스의 모습

해답은 스킬 마켓플레이스를 포기하는 것이 아닙니다. 해답은 보안을 후순위가 아닌 기본으로 삼아 구축하는 것입니다. 안전한 스킬 마켓플레이스에는 다섯 가지가 필요합니다:

필수 코드 리뷰. 모든 스킬 제출은 사용자에게 도달하기 전에 자동화된 정적 분석과 인간 리뷰를 거칩니다. 예외 없음. 인기 있는 발행자를 위한 빠른 경로 없음.

승인 전 샌드박스 테스트. 스킬은 리뷰 과정에서 격리된 환경에서 실행됩니다. 리뷰어는 스킬이 실제로 무엇을 하는지 – 무엇에 접근하는지, 무엇을 다운로드하는지, 무엇을 네트워크로 전송하는지 – 확인합니다. 단순히 주장하는 것만이 아닙니다.

런타임 격리. 승인 후에도 스킬은 샌드박스화된 컨테이너 내에서 실행됩니다. 스킬이 숨겨진 행동으로 리뷰를 통과하더라도, 샌드박스는 피해 범위를 제한합니다. 호스트 파일 시스템, 다른 사용자의 데이터 또는 시스템 자격 증명에 접근할 수 없습니다.

권한 범위 지정. 스킬은 필요한 권한을 선언합니다. 파일 접근, 네트워크 접근, 특정 API 엔드포인트. 런타임은 이러한 선언을 강제합니다. 일정 스킬은 당신의 SSH 키를 읽을 수 없습니다.

커뮤니티 신고. 사용자는 의심스러운 행동을 신고할 수 있습니다. 신고된 스킬은 마켓플레이스에서 제거되고 재검토됩니다. 피드백 루프는 지속적입니다.

LikeClaw가 이를 처리하는 방법

LikeClaw에서는 마켓플레이스의 모든 스킬이 게시 전에 필수 보안 리뷰를 통과합니다. 스킬은 E2B 샌드박스화된 컨테이너 내에서 테스트됩니다 – 이는 런타임에서 작업을 보호하는 동일한 격리 기술입니다. 자동화된 스캔은 알려진 악성코드 서명, 종속성 취약점 및 프롬프트 주입 패턴을 확인합니다. 인간 리뷰어가 결과를 검증합니다.

런타임에서 스킬은 범위가 지정된 권한으로 격리된 컨테이너 내에서 실행됩니다. 스킬은 명시적으로 선언한 것과 샌드박스가 허용하는 것 외에는 파일 시스템, 자격 증명 또는 네트워크에 접근할 수 없습니다. 스킬이 335명의 ClawHub 사용자를 손상시킨 것과 같은 가짜 전제 조건 공격을 시도했다면, 샌드박스가 이를 차단했을 것입니다. 악성코드는 실행 후 파괴되는 컨테이너로 다운로드됩니다. 당신의 머신은 손상되지 않습니다.

이것이 오픈 레지스트리와 검증된 마켓플레이스의 차이입니다. 하나는 커뮤니티가 스스로를 감시하도록 신뢰합니다. 다른 하나는 검증한 후 신뢰합니다.

OpenClaw의 아키텍처와 관련된 보안 문제에 대한 자세한 내용은 OpenClaw Security: What You Need to Know를 참조하세요. 두 접근 방식을 나란히 비교하려면 LikeClaw vs OpenClaw를 확인하세요.

AI 에이전트 스킬에 대한 수요는 사라지지 않을 것입니다. 질문은 당신이 6%의 제출물이 확인된 악성코드인 레지스트리에서 설치할 것인지, 아니면 모든 스킬이 검토, 테스트 및 샌드박스화된 마켓플레이스에서 설치할 것인지입니다.