OpenClaw의 마켓플레이스에서 발견된 341개의 악성 스킬 (2026)

OpenClaw는 중요한 것을 증명했습니다

OpenClaw는 10주 만에 145,000개 이상의 GitHub 스타를 기록했습니다. 이는 최근 기억에 남는 가장 빠르게 성장하는 오픈 소스 프로젝트입니다. 그리고 그 성장은 정당한 것이었습니다. 실제로 작업을 수행하는 자율 AI 에이전트의 아이디어 – 코드를 실행하고, 파일을 관리하며, 스크립트를 실행하고, 받은 편지함을 모니터링하는 것 – 는 수십만 명의 개발자들에게 공감을 불러일으켰습니다.

비전이 맞습니다. 대화하는 AI는 유용합니다. 행동하는 AI는 혁신적입니다.

하지만 보안 모델에는 다섯 개의 주요 조직이 문서화한 치명적인 결함이 있습니다. 이는 추측이 아닙니다. Snyk, Kaspersky, Cisco, Wiz, Bitsight의 연구 결과와 공식 보안 권고에서 발표된 내용입니다. OpenClaw를 사용 중이거나 고려 중이라면 그들이 발견한 내용을 이해해야 합니다.

ClawHub 공급망 문제

ClawHub는 OpenClaw의 기술을 위한 커뮤니티 마켓플레이스입니다 – 에이전트의 기능을 확장하는 미리 구축된 패키지입니다. 2026년 2월 기준으로 5,705개의 커뮤니티 제작 기술을 호스팅하고 있습니다. 일주일 이상 된 GitHub 계정이 있는 누구나 게시할 수 있습니다.

Snyk의 ToxicSkills 연구에 따르면 그 기술 중 341개가 악성입니다. 이 중 335개는 macOS 스틸러 악성코드, 특히 브라우저 비밀번호, 암호화폐 지갑 및 세션 쿠키를 수집하는 Atomic Stealer (AMOS)를 설치하기 위해 가짜 전제 조건을 사용합니다.

더 나쁜 점은: Snyk이 더 넓은 샘플을 분석한 결과 ClawHub 기술의 36%가 프롬프트 주입을 포함하고 있습니다 – 에이전트의 행동을 탈취하는 숨겨진 지시입니다. 이메일 형식을 지정한다고 주장하는 기술이 에이전트에게 파일을 유출하도록 조용히 지시할 수 있습니다.

이는 가설이 아닙니다. 측정된, 발표된 결과입니다.

얇은 가드레일로 원시 시스템 접근

OpenClaw는 파일 시스템, 셸 및 네트워크에 접근할 수 있는 장기 실행 프로세스로 귀하의 기계에서 실행됩니다. 보안 모델은 허용 목록에 의존합니다 – 에이전트가 실행할 수 있는 승인된 명령 목록입니다. 나머지는 이론적으로 셸 AST 패턴을 파싱하여 차단됩니다.

실제로 이는 약한 경계입니다. 허용 목록 접근 방식은 보안이 모든 위험한 명령 패턴을 미리 예측하는 데 의존한다는 것을 의미합니다. 연구자들은 우회 방법을 입증했습니다. Kaspersky 블로그는 에이전트의 광범위한 권한이 시스템 전반에 걸쳐 측면 이동을 허용하는 특정 시나리오를 문서화했습니다.

핵심 문제는: OpenClaw의 보안 모델이 옵트 아웃 (알려진 나쁜 패턴 차단) 방식이라는 것입니다. 이는 옵트 인 (명시적으로 승인된 작업만 격리된 환경에서 허용) 방식이 아닙니다. 옵트 아웃 보안은 소프트웨어 공학에서 실패의 오랜 역사를 가지고 있습니다.

평문에서의 자격 증명 노출

OpenClaw는 API 키를 ~/.clawdbot에 평문으로 저장합니다. 귀하의 OpenAI 키, Anthropic 키, Google 키 및 에이전트가 필요한 모든 서비스 토큰이 모두 귀하의 파일 시스템에 읽을 수 있는 파일로 저장됩니다.

더 나빠집니다. 사용자가 키를 회전할 때, 이전 값이 때때로 같은 디렉토리의 .bak 파일에 보존됩니다. 악성 기술 – 또는 파일 읽기 접근 권한이 있는 모든 프로세스 – 는 현재 및 과거 자격 증명을 단일 읽기 작업으로 수집할 수 있습니다.

이는 엣지 케이스가 아닙니다. 이는 기본 동작입니다.

원클릭 원격 코드 실행

보안 연구자들은 OpenClaw의 기술 설치 흐름에서 원클릭 RCE 취약점을 문서화했습니다. 조작된 기술 패키지는 설치 중 호스트 기계에서 임의의 코드를 실행할 수 있습니다 – 사용자가 그것이 무엇을 하는지 검토할 기회가 있기 전에 말이죠.

ClawHub 공급망 문제와 결합하면, 이는 직접적인 공격 경로를 생성합니다: 악성 기술을 게시하고, 설치를 기다리고, 설치하는 모든 기계에서 코드를 실행합니다.

Cisco의 데이터 유출 시연

Cisco의 AI 보안 팀은 제3자 기술이 호스트 시스템에서 민감한 데이터를 조용히 추출하는 방법을 보여주는 자세한 시연을 발표했습니다. 이 기술은 광고된 기능을 수행하는 것처럼 보이지만, 동시에 파일을 읽고 내용을 외부 서버로 전송합니다.

OpenClaw 기술은 에이전트와 동일한 권한으로 실행되기 때문에 (광범위한 시스템 접근 권한을 가진), 기술이 수행해야 하는 작업과 실제로 수행하는 작업 간에 격리 경계가 없습니다.

보안 커뮤니티의 반응

보안 커뮤니티의 반응은 직접적이었습니다:

• XDA-Developers는 “OpenClaw 사용을 중단해 주세요"라는 제목의 기사를 발표했습니다.
• Computerworld는 이 플랫폼을 “보안 악몽"이라고 설명했습니다.
• Gary Marcus는 이를 “일어날 재앙"이라고 불렀습니다.
• Kaspersky는 특정 취약점을 문서화하고 사용자가 OpenClaw를 전용 하드웨어에 격리할 것을 권장하는 자세한 블로그 게시물을 발표했습니다.

이들은 주변 목소리가 아닙니다. 이들은 보안 연구 커뮤니티의 주류 합의를 대표합니다.

당신이 할 수 있는 것

현재 OpenClaw를 사용 중이라면, 세 가지 옵션이 있습니다:

옵션 1: 기존 설정 강화하기. OpenClaw를 격리된 가상 머신으로 이동하세요. 모든 ClawHub 기술을 피하세요. API 키를 ~/.clawdbot 대신 적절한 비밀 관리 도구에 저장하세요. 기술 스캐닝 및 프롬프트 주입 보호를 위해 커뮤니티 openclaw-secure-stack를 사용하세요. 이는 위험을 줄이지만 근본적인 구조적 문제를 없애지는 않습니다.

옵션 2: NanoClaw 사용해보기. 이 700줄 TypeScript 포크는 Apple 컨테이너 내에서 실행되어 macOS에서 의미 있는 격리를 제공합니다. 최소한이며, 통합이 적고 초기 단계입니다 – 하지만 원시 시스템 접근 문제를 해결합니다.

옵션 3: 샌드박스 대안으로 전환하기. LikeClaw와 같은 클라우드 기반 플랫폼은 모든 에이전트 코드를 격리된 E2B 컨테이너 내에서 실행합니다. 기술은 게시 전에 검토됩니다. 자격 증명은 암호화됩니다. 타격을 받을 호스트 기계가 없습니다. 단점은 귀하의 에이전트가 로컬이 아니라 클라우드에서 실행된다는 것입니다.

올바른 선택은 귀하의 우선 사항에 따라 다릅니다. 로컬 우선 개인 정보 보호가 절대적으로 필요하다면 설정을 강화하거나 NanoClaw를 사용해 보세요. 보안과 제로 설정이 더 중요하다면, 샌드박스 클라우드 에이전트는 전체 위험 범주를 제거합니다.

더 깊은 교훈

OpenClaw의 보안 문제는 패치해야 할 버그가 아닙니다. 이는 아키텍처 결정의 결과입니다: 에이전트에 전체 시스템 접근을 부여하고 나중에 보안을 고려하겠다는 것입니다.

이 접근 방식은 확장되지 않습니다. AI 에이전트가 더 능력 있고 자율적으로 발전함에 따라 보안 실패의 폭발 반경이 커집니다. 산업은 루트로 코드를 실행하는 것에서 컨테이너 내에서 실행하는 것으로 이동한 것과 같은 이유로 샌드박스 실행으로 나아가고 있습니다. 격리는 제한이 아닙니다. 그것은 기능입니다.

OpenClaw가 증명한 수요는 현실입니다. 코드를 실행하고, 파일을 관리하며, 워크플로를 자동화하는 자율 AI 에이전트 – 그것이 미래입니다. 질문은 그 미래가 귀하의 기계에서 실행될 것인지, 아니면 이를 위해 설계된 샌드박스 내에서 실행될 것인지입니다.