악성 소프트웨어를 전송하지 않는 기술 마켓플레이스 구축하기

다르게 구축해야 하는 341가지 이유

2026년 2월, Snyk는 AI 에이전트 커뮤니티를 뒤흔드는 연구 결과를 발표했습니다: OpenClaw의 ClawHub 마켓플레이스에서 341개의 악성 스킬이 발견되었습니다. 모든 스킬의 36%가 프롬프트 인젝션 취약점을 포함하고 있었습니다. 335개의 악성 스킬은 macOS 스틸러 맬웨어, 특히 Atomic Stealer (AMOS)를 설치했습니다.

이 사실을 곱씹어 보세요. 사용자들은 자신의 AI 에이전트를 개선할 것이라고 생각하며 스킬을 다운로드했지만, 그 스킬은 자격 증명을 훔치는 맬웨어를 설치했습니다.

이건 이론적인 위험이 아니었습니다. 수백만 명의 개발자가 신뢰하는 마켓플레이스를 통해 배포된 341건의 악성 소프트웨어가 확인된 사례였습니다.

우리가 LikeClaw의 스킬 마켓플레이스를 구축할 때, 우리는 그 341건의 사례를 모니터에 붙여두었습니다.

OpenClaw 마켓플레이스가 설계상 깨진 이유

OpenClaw의 마켓플레이스 문제는 그들이 맬웨어를 검사하지 않기 때문이 아닙니다(사실 검사하지 않습니다). 문제는 구조적입니다.

OpenClaw 스킬은 사용자의 로컬 머신에서 사용자의 권한으로 실행됩니다. “JSON 포맷"을 주장하는 스킬은 컴퓨터의 다른 프로그램과 동일한 접근 권한을 가집니다: 파일을 읽고, 네트워크 요청을 하고, 자격 증명에 접근하며, 소프트웨어를 설치할 수 있습니다.

샌드박스가 없습니다. 격리도 없습니다. containment도 없습니다. OpenClaw 스킬을 설치할 때, 당신은 시스템 전체에 대한 열쇠를 주는 것입니다.

완벽한 검토 프로세스가 있더라도, 이 구조는 근본적으로 안전하지 않습니다. 게시 당시 안전했던 스킬이 악성 코드로 업데이트될 수 있습니다. 합법적인 작업을 수행하는 스킬도 백그라운드에서 데이터를 유출할 수 있습니다. 스킬의 종속성은 공급망 공격을 통해 손상될 수 있습니다.

스킬 마켓플레이스를 안전하게 만들 수 있는 유일한 방법은 스킬이 시도하더라도 피해를 줄 수 없도록 하는 것입니다.

우리가 어떻게 구축했는지

우리의 스킬 마켓플레이스는 2026년 2월에 출시되었습니다. 세 가지 원칙에 기반하여 구축되었습니다:

원칙 1: 게시 전에 검토. 모든 스킬은 사용자에게 제공되기 전에 승인 워크플로를 거칩니다. 이는 단순한 체크박스가 아닙니다 — 검토는 악성 코드 패턴, 프롬프트 인젝션 기술 및 샌드박스 실행과의 호환성을 확인합니다.

우리는 완전한 승인 시스템을 구축했습니다: 스킬이 제출되고, 검토되며, 피드백과 함께 승인되거나 거부됩니다. 카테고리는 스킬을 목적에 따라 정리합니다. 페이지네이션은 규모를 처리합니다. 검토 프로세스는 신속함이 아닌 철저함을 목표로 합니다.

원칙 2: 모든 것을 샌드박스화. 스킬은 항상 E2B 샌드박스 내에서 실행됩니다. 사용자의 파일 시스템에 접근하려는 스킬은 샌드박스 경계에 부딪힙니다. 소프트웨어를 설치하려는 스킬은 파괴될 컨테이너 내에 설치됩니다. 데이터를 유출하려는 스킬은 샌드박스 내의 것만 보낼 수 있습니다.

이것이 근본적인 구조적 차이입니다. OpenClaw 스킬은 당신의 머신에서 실행됩니다. LikeClaw 스킬은 컨테이너 내에서 실행됩니다. OpenClaw에서의 악성 스킬의 폭발 반경은 당신의 전체 시스템입니다. LikeClaw에서의 폭발 반경은 곧 파괴될 임시 컨테이너입니다.

원칙 3: 호환성 감지. 많은 OpenClaw 스킬은 원시 시스템 접근을 가정합니다. 그들은 ~/.ssh/에서 읽고, 시스템 데이터베이스에 접근하며, 로컬 API를 호출합니다. 이러한 스킬은 본질적으로 샌드박스 실행과 호환되지 않습니다.

사용자가 ClawHub에서 스킬을 가져올 때, 우리는 자동으로 이러한 호환성 문제를 감지합니다. 원시 시스템 접근이 필요한 스킬은 플래그가 지정됩니다. 사용자는 무엇이 작동하지 않는지와 그 이유를 정확히 알 수 있습니다. 조용한 실패는 없습니다. “이 스킬은 작동하지 않지만 이유는 모르겠습니다.“라는 것도 없습니다.

ClawHub 임포트 브리지

우리는 OpenClaw 생태계를 무시하지 않았습니다. 많은 ClawHub 스킬은 재능 있는 개발자들이 만든 합법적이고 잘 구축된 도구입니다. 우리는 사용자가 이러한 스킬을 LikeClaw로 가져올 수 있는 임포트 브리지를 구축했습니다.

임포트 프로세스:

1. 임포트할 ClawHub 스킬 선택
2. E2B 호환성을 분석
3. 호환되지 않는 기능 플래그 지정
4. 호환 가능한 스킬을 임포트하고 검토 대기열에 추가
5. 검토 후, 스킬이 작업 공간에서 사용 가능

이로 인해 사용자는 OpenClaw 생태계의 장점을 누리면서 보안 모델의 단점은 피할 수 있습니다.

검증된 마켓플레이스가 사용자에게 의미하는 것

LikeClaw의 마켓플레이스에서 스킬을 설치할 때, 당신은 다음을 알고 있습니다:

• 게시되기 전에 사람이 검토했습니다
• 당신의 머신이 아닌 격리된 샌드박스에서 실행됩니다
• 컨테이너 외부의 어떤 것도 접근할 수 없습니다
• 프롬프트 인젝션 패턴에 대해 검토되었습니다
• ClawHub에서 가져온 경우, 호환성 문제가 플래그가 지정되었습니다

OpenClaw의 마켓플레이스에서 스킬을 설치하는 것과 비교해 보세요. Snyk는 3개 중 1개 이상이 프롬프트 인젝션을 포함하고, 335개의 알려진 스킬이 자격 증명을 훔치는 맬웨어를 설치했다고 밝혔습니다.

이건 OpenClaw 팀보다 더 나은 엔지니어가 되는 것에 관한 것이 아닙니다. 다른 아키텍처를 선택하는 것에 관한 것입니다. 보안이 나중에 추가할 기능이 아닌, 모든 것이 구축되는 기반이 되는 아키텍처입니다.

0만이 허용되는 숫자

341개의 악성 스킬. 그건 OpenClaw의 숫자입니다. 우리의 숫자는 0입니다.

더 경계하기 때문이 아닙니다. 우리의 검토 프로세스가 완벽하기 때문이 아닙니다. 우리의 아키텍처가 악성 스킬을 무력화하기 때문입니다. 샌드박스 내에서 자격 증명을 훔치려는 스킬은 아무것도 훔치지 못합니다. 맬웨어를 설치하려는 스킬은 몇 초 안에 파괴될 컨테이너에 설치됩니다.

아키텍처는 경계를 이깁니다. 매번.

우리는 맬웨어를 배포하지 않는 스킬 마켓플레이스를 구축했습니다. 조심스러워서가 아닙니다. 아키텍처적으로 불가능하게 만들었기 때문입니다.