우리는 5,327개의 ClawHub 기술을 스캔했습니다. 그 중 65개는 위험했습니다.
우리는 OpenClaw의 마켓플레이스에 있는 모든 스킬을 분석하는 자동화된 파이프라인을 구축했습니다. 우리가 발견한 것과 필터링한 내용은 다음과 같습니다.
ClawHub에서 발견한 것들
5,327
스캔된 기술
LikeClaw 내부 스캔, 2026년 2월
65
위험한 것으로 표시됨
AI + 수동 검토
20+
데이터 유출 기술
알 수 없는 서버로 사용자 데이터를 전송하기
10+
자격 증명 도용 기술
API 키, 비밀번호, 지갑 수집
왜 우리는 ClawHub의 모든 기술을 스캔했는가
우리는 LikeClaw를 위한 기술 마켓플레이스를 구축하고 있습니다. 이를 위해 ClawHub에서 기술을 가져옵니다. ClawHub는 OpenClaw의 7,000개 이상의 기술 커뮤니티 레지스트리입니다. 하지만 우리는 맹목적으로 가져오는 것을 거부합니다. Snyk는 이미 해당 레지스트리에서 341개의 확인된 악성 기술를 발견했습니다. 우리는 정확히 무엇을 다루고 있는지 알아야 했습니다.
그래서 우리는 ClawHub의 모든 기술을 다운로드하고, 파싱하고, 분석하는 파이프라인을 구축했습니다. 샘플도 아니고, 상위 100개도 아닙니다. 모든 기술을 다 분석했습니다.
결과: 초기 호환성 필터를 통과한 5,327개 기술 중 65개가 위험한 것으로 표시되었습니다. 이는 마켓플레이스의 1.2%에 해당합니다. 83개 기술 중 1개는 뭔가를 하려는 의도가 있습니다.
우리가 발견한 것, 발견한 방법, 그리고 그에 대한 우리의 대응 방안은 다음과 같습니다.
스캔 파이프라인 작동 방식
우리의 탐지는 세 단계로 진행됩니다.
1단계: 전체 마켓플레이스 다운로드. Python 스크립트가 ClawHub API를 통해 페이지를 나누어 모든 기술의 소스 코드, 메타데이터 및 파일 내용을 로컬 저장소로 다운로드합니다. 초당 1.8 요청으로 속도가 제한되며, 지수 백오프가 적용됩니다. 가장 최근의 실행에서는 7,001개의 기술 디렉토리를 가져왔습니다.
2단계: 플랫폼 호환성 필터. 보안 분석 전에 E2B 샌드박스 호환성을 필터링합니다. macOS 전용 바이너리(osascript, pbcopy, Homebrew), Docker 컨테이너 또는 원시 시스템 접근을 요구하는 기술은 호환되지 않는 것으로 표시되어 숨겨집니다. 이 필터는 선언된 종속성을 확인하고, 플랫폼 특정 패턴에 대한 소스 코드를 스캔하며, 39개의 알려진 호환되지 않는 바이너리의 블록리스트와 검증합니다. 이 단계에서 114개의 기술이 제거되어 5,327개가 보안 분석을 위해 남았습니다.
3단계: AI 기반 소스 코드 분석. 남은 모든 기술의 전체 소스 코드를 연결하여 안전성 평가를 위해 LLM에 전송합니다. 모델은 각 기술을 다섯 가지 기준에 따라 평가합니다:
- 데이터가 알려지지 않은 엔드포인트로 유출되나요?
- 파괴적인 명령을 실행하나요?
- 프롬프트 주입이나 탈옥을 시도하나요?
- 명확한 목적 없이 민감한 시스템 리소스에 접근하나요?
- 난독화되거나 의심스러운 코드를 포함하고 있나요?
모델은 구조화된 판결을 반환합니다: 안전하거나 안전하지 않음, 카테고리, 코드가 실제로 수행하는 작업에 대한 설명(마케팅 주장과는 다름), 그리고 우려 사항에 대한 안전 노트.
전체 실행에서는 약 13.5시간 동안 5,213개 기술이 분석되었습니다. 실패는 없었습니다. 65개 기술이 안전하지 않은 것으로 표시되었습니다. 이 65개는 이후 데이터베이스에서 숨김으로 표시되었고, 마켓플레이스에서 제외되었습니다.
우리가 발견한 일곱 가지 위협 패턴
65개의 위험한 기술은 뚜렷한 공격 패턴으로 클러스터링됩니다. 일부는 대담하고, 일부는 미묘하며, 몇몇은 협조적인 것처럼 보입니다.
패턴 1: 명백한 악성코드
일곱 개의 기술이 “의심스러운” 경계를 넘어 “명백히 악성"으로 넘어갔습니다. 최악의 범죄자는 redpacket-claim이라는 기술로, 하드코딩된 IP 주소(120.48.191.124)에서 임의의 바이너리를 다운로드하고 실행하며, 검증, 서명 확인, 사용자 프롬프트가 없습니다. 설치하면 서버가 보내는 대로 실행됩니다.
또 다른 기술인 self-evolve는 에이전트가 bash 명령을 실행하고, 시스템 구성을 수정하며, 확인 단계 없이 파일을 변경할 수 있도록 권한을 부여합니다. 세 번째 기술인 bun-runtime은 eval을 사용하여 문자열로 전달된 임의의 셸 명령을 실행합니다 — 소프트웨어 보안에서 가장 오래되고 위험한 패턴입니다.
이들은 모호하지 않습니다. 이는 기술 마켓플레이스를 통한 원격 코드 실행입니다.
패턴 2: PDF 유출 링
이건 우리를 놀라게 했습니다. 일곱 개의 겉보기에 관련 없는 기술 — add-watermark-to-pdf, compress-pdf, merge-pdf, change-pdf-permissions, make-pdf-safe, password-protect-pdf, remove-password-from-pdf — 모두 사용자가 업로드한 PDF를 동일한 도메인인 api.xss-cross-service-solutions.com으로 라우팅합니다.
일곱 개의 기술. 하나의 도메인. 이름에 “xss"가 포함된 도메인.
이 기술 중 하나라도 설치하고 PDF를 제공하는 사용자는 계약서, 재무 제표, 개인 기록 등의 문서를 단일 외부 서버로 전송하고 있습니다. 이 기술들은 독립적으로 보입니다. 이름, 설명, 저자가 다릅니다. 하지만 모두 같은 곳으로 전화합니다.
이는 PDF 콘텐츠를 대규모로 수집하기 위한 협조적인 캠페인처럼 보입니다.
패턴 3: 자격 증명 수집
열 개의 기술이 자격 증명을 직접 노출하거나 제3자에게 전송합니다.
Twitter Command Center라는 이름의 두 기술(하나는 검색 + 모니터, 다른 하나는 검색 + 게시)은 사용자의 Twitter 이메일과 비밀번호를 api.aisa.one이라는 제3자 자동화 API로 전송합니다. 이 기술은 “계정을 관리하는 데 도움을 주기 위해” Twitter 자격 증명을 요청합니다. 그런 다음 이를 다른 서버로 전송합니다.
coconala-seller는 로그인 자격 증명을 외부 브라우저 자동화 서비스로 전달합니다. paytrigo-openclawbot은 소스 코드에 하드코딩된 라이브 API 키를 포함하고 있어, 소스를 읽는 누구나 해당 계정에 접근할 수 있습니다. voice-agent는 사용자의 AWS 자격 증명 디렉토리(~/.aws)를 자신이 제어하는 Docker 컨테이너에 마운트합니다.
uniclaw는 특히 우려스러운데, 사용자의 지갑 기억구문과 개인 키에 접근하면서 자신의 소스 코드에 하드코딩된 API 키를 포함하고 있습니다. 이는 암호화폐 지갑을 비우기 위해 특별히 설계된 조합입니다.
패턴 4: 조용한 데이터 유출
가장 큰 카테고리입니다. 17개 이상의 기술이 사용자가 공유하기로 동의하지 않은 외부 서버로 사용자 데이터를 전송합니다.
conversation-summary는 전체 대화 기록을 iautomark.sdm.qq.com으로 전송합니다. voidborne는 기계 ID, 호스트 이름, 사용자 이름 및 생성된 콘텐츠를 voidborne.org로 유출합니다. clawcredit는 에이전트의 전체 추론 추적 — 프롬프트, 논리 및 응답 — 을 외부 백엔드로 전송합니다. telegram-body-scan은 민감한 비디오 데이터(신체 스캔)를 외부 서비스로 전달합니다.
clawswarm은 등록 데이터, 추론 추적 및 솔루션을 claw-swarm.com으로 전송합니다. clawdrug는 입력 및 출력을 외부 API로 전송하면서 에이전트의 행동을 수정할 수 있는 원격 프롬프트 템플릿을 다운로드합니다. trade-with-taro는 지식 콘텐츠를 kairyuu.net으로 유출합니다.
모든 경우에 기술의 설명에는 이러한 데이터 공유에 대한 언급이 없습니다. 사용자는 자신의 대화, 파일 및 에이전트 출력이 제3자 서버로 전달되고 있다는 사실을 알지 못합니다.
패턴 5: 암호화폐 지갑 노출
여덟 개의 기술은 기능을 수행하기 위해 사용자의 암호화폐 지갑 개인 키를 요구합니다. lobsterhood는 확인 없이 USDC 전송을 자동화합니다 — 잘못 구성된 규칙 하나로 지갑이 비워질 수 있습니다. mia-polymarket-trader는 자동 거래를 위해 개인 키를 요구합니다. bonero-miner는 CPU 집약적인 채굴 작업을 실행하며, 사용자가 검증되지 않은 설치 스크립트를 실행하도록 유도합니다.
이 기술들은 재정적 위험과 공급망 위험의 교차점에 위치합니다. 개인 키를 제공하면, 사용자가 작성하지 않았고 검증할 수 없는 코드를 실행합니다.
패턴 6: 공급망 공격
여섯 개의 기술이 외부 URL에서 검증되지 않은 코드를 다운로드하고 실행합니다. MoltiumV2는 moltium.fun에서 코드를 가져와 실행합니다. desktop-sandbox는 GitHub에서 설치 프로그램 바이너리를 다운로드하고 시스템 권한으로 실행합니다. xiaohongshu는 검증되지 않은 출처에서 시스템 패키지를 설치하기 위해 sudo 접근을 요구합니다.
패턴은 항상 동일합니다: 기술은 종속성이 필요하다고 주장하며, 사용자가 검증할 수 없는 URL에서 다운로드하고 실행합니다. 이는 Snyk가 335개의 macOS 스틸러 사례에서 문서화한 정확한 공격 벡터입니다 — 하지만 다른 페이로드를 사용합니다.
패턴 7: XSS 및 프롬프트 주입
세 개의 기술은 ClawHub 플랫폼 자체에 대한 명시적인 증명 개념 공격입니다. localstorage-poc는 SVG에 내장된 JavaScript를 사용하여 localStorage에서 인증 토큰에 접근한 다음, 토큰 수로 외부 엔드포인트에 핑을 보냅니다. red-pill은 SVG XSS 벡터를 통해 clawdhub.com에서 외부 iframe을 로드합니다.
이 기술들은 ClawHub의 자체 플랫폼이 기술 렌더링 파이프라인을 통해 교차 사이트 스크립팅에 취약하다는 것을 보여줍니다. 이들은 마켓플레이스에서 작동하는 익스플로잇으로 존재합니다.
결과에 대한 우리의 대응
안전하지 않은 것으로 표시된 모든 기술은 자동으로 데이터베이스에서 숨겨집니다. 기술 목록, 검색 결과 또는 기술 선택기에서 나타나지 않습니다. 사용자는 설치할 수 없습니다.
하지만 자동 스캔은 첫 번째 게이트에 불과합니다. 우리의 전체 파이프라인은 세 가지 레이어로 구성됩니다:
- 자동 분석은 이 게시물에서 설명한 65개의 기술 — 명백히 위험한 기술을 포착합니다.
- 인간 검토는 마켓플레이스에 나타나기 전에 모든 기술을 평가합니다. 의심스러운 행동 중 일부는 정당한 설명이 있을 수 있습니다. 안전해 보이는 행동 중 일부는 실제로 위험할 수 있습니다. 최종 결정은 인간이 내립니다.
- 샌드박스 실행은 기술이 두 필터를 모두 통과하더라도 E2B 컨테이너 내에서 실행되도록 합니다 — 작업별로 생성되고 파괴되는 격리된 환경입니다. 샌드박스 내의 악성 기술은 갈 곳이 없는 악성 기술입니다.
이것이 잡지 못하는 것들
우리는 한계에 대해 투명하게 이야기하고 싶습니다.
우리의 스캔 파이프라인은 강력하지만 완벽하지 않습니다. 다음과 같은 기술을 놓칠 수 있습니다:
- 행동을 난독화합니다. Base64 인코딩된 페이로드, 스테가노그래피 또는 각 단계가 개별적으로 무해해 보이는 다단계 공격.
- 시간 지연 실행을 사용합니다. 몇 주 동안 정상적으로 작동하다가 트리거에 따라 악성 코드를 활성화하는 기술.
- 게시 후 업데이트합니다. 검토를 통과한 기술이 악성 업데이트를 푸시합니다. (우리의 파이프라인은 주기적으로 재스캔하지만 항상 윈도우가 존재합니다.)
- 제로데이 취약점을 악용합니다. 샌드박스나 런타임 환경의 알려지지 않은 약점을 목표로 하는 공격.
어떤 자동화 시스템도 모든 것을 잡지 못합니다. 우리는 마켓플레이스가 모든 위험에서 자유롭다고 보장하지 않습니다. 우리가 보장하는 것은 우리가 적극적으로 찾고 있으며, 발견한 것을 필터링하고, 샌드박스가 통과한 것의 폭발 반경을 제한한다는 것입니다.
이는 전혀 살펴보지 않는 마켓플레이스와 근본적으로 다릅니다.
맥락 속의 숫자
5,327개 중 65개의 위험한 기술은 1.2% 비율입니다. 이는 작게 들리지만, 성장하는 마켓플레이스의 수학을 생각해보면 다릅니다.
5,327개 기술에서 1.2%는 65개의 지뢰를 의미합니다. 10,000개 기술에서는 120개, 50,000개 기술에서는 600개가 됩니다. 오픈 레지스트리는 가치가 증가하는 만큼 공격 표면도 증가합니다. 새로운 기술은 유용하거나 위험하며, 체계적인 스캔 없이는 사용자들이 그 차이를 알 수 없습니다.
Snyk의 독립적인 연구는 ClawHub에서 341개의 확인된 악성 기술을 발견했습니다 — 이는 다른 기간과 탐지 기준을 포함했기 때문에 더 높은 절대 수치입니다. 우리의 65는 그들의 발견과 모순되지 않습니다. 이는 다른 방법론으로 수행된 별도의 스캔으로, 같은 결론을 확인합니다: ClawHub 마켓플레이스는 체계적인 안전 문제를 가지고 있습니다.
우리가 표시한 기술은 여전히 ClawHub에서 활성화되어 있습니다. 여전히 설치할 수 있습니다. OpenClaw를 실행하는 사용자는 오늘도 이들을 설치할 수 있습니다.
LikeClaw에서는 필터링되고, 검토되며, 샌드박스 처리됩니다. 이는 오픈 레지스트리와 검증된 마켓플레이스의 차이입니다.
탐지된 위협 카테고리
| 위협 유형 | 발견된 기술 | 심각도 | |
|---|---|---|---|
| 악성 소프트웨어 / 원격 코드 실행 (RCE) | 원격 코드 실행, 임의의 바이너리 다운로드 | 7 | 중요한 |
| 데이터 유출 | 사용자 데이터가 알 수 없는 외부 서버로 전송됨 | 17+ | 높음 |
| 자격 증명 도용 | 비밀번호, API 키, 지갑 키가 수집됨 | 10 | 높음 |
| 의심스러운 PDF 링 | 7가지 기술을 xss-cross-service-solutions.com으로 라우팅하는 PDF | 7 | 높음 |
| 암호화폐 / 금융 리스크 | 지갑 개인 키가 필요하며, 자동 이체가 가능합니다. | 8 | 미디엄 |
| 공급망 공격 | 검증되지 않은 바이너리 다운로드, curl|bash 패턴 | 6 | 미디엄 |
| SSL/TLS가 비활성화되었습니다. | 인증서 검증이 꺼져 있어, MITM 공격에 취약합니다. | 3 | 미디엄 |
| 파괴적인 행동 | rm -rf, 임의 명령 실행, 루트 접근 | 7 | 미디엄 |
LikeClaw 내부 스캔, ClawHub 마켓플레이스, 2026년 2월
스캔 프로세스에 대한 질문
이것은 모든 다른 ClawHub 기술이 안전하다는 것을 의미하나요?
아니요. 우리의 스캔은 알려진 위험한 패턴을 감지하지만, 자동화된 시스템은 완벽하지 않습니다. 기술은 악의적인 행동을 난독화, 지연 실행 또는 안전한 코드가 게시 후 교체되는 업데이트 기반 공격 뒤에 숨길 수 있습니다. 우리는 우리의 스캔을 강력한 필터로 간주하며, 보장을 제공하지는 않습니다.
경계선에 있는 기술은 어떻게 처리하나요?
자동 분석에서 플래그가 지정된 스킬은 수동 검토를 거칩니다. 일부 스킬은 의심스러운 행동을 보이는 정당한 이유가 있을 수 있습니다. 예를 들어, 배포 도구는 실제로 SSH 접근이 필요할 수 있습니다. 맥락이 중요하며, 최종 결정은 인간이 내립니다.
이 기술들을 OpenClaw에서 여전히 사용할 수 있을까요?
네 — ClawHub는 우리의 분석에 따라 기술을 제거하지 않아요. 이 기술들은 여전히 활성화되어 있고 OpenClaw에서 설치할 수 있어요. 그게 핵심이에요. LikeClaw에서는 자동으로 필터링되며, 우리의 검토 과정을 통과하지 못할 거예요.
전체 플래그가 지정된 기술 목록을 공개할 건가요?
우리는 책임 있는 공개를 평가하고 있어요. 이 기술 중 일부는 분명히 악의적이며 그 작성자들도 알고 있습니다. 다른 것들은 의도적으로 해로운 것이 아니라 잘못 작성된 것일 수 있어요. 우리는 가장 중요한 발견 사항을 ClawHub에 보고했습니다.
필터를 통과한 위험한 기술은 어떻게 하나요?
우리의 스캐닝 파이프라인은 방어의 한 층일 뿐, 유일한 방어는 아니에요. 스킬이 필터를 통과하더라도, 마켓플레이스에 나타나기 전에 사람의 검토를 통과해야 해요. 검토를 통과하더라도, E2B 샌드박스 내에서 실행되는데, 이는 실행 후 파괴되는 격리된 컨테이너예요. 당신의 시스템은 손대지 않아요.