Certik의 보고서에 따르면, 오픈소스 AI 플랫폼인 Openclaw에 심각한 보안 결함이 있는 것으로 드러났으며, 특히 악의적인 제3자 확장 프로그램으로부터 사용자를 충분히 보호하지 못하는 “스킬 스캐닝(skill scanning)” 방식에 의존하고 있는 점이 지적되었습니다.
Certik 연구진, Openclaw AI 스킬이 악의적인 공격에 취약하다고 경고
공유
Clawhub 검토 프로세스의 한계
사이버 보안 기업 Certik의 보고서에 따르면, 오픈소스 인공지능 에이전트 플랫폼인 OpenClaw에 심각한 보안 취약점이 있는 것으로 드러났으며, "스킬 스캐닝"에 의존하는 방식만으로는 악성 제3자 확장 프로그램으로부터 사용자를 보호하기에 불충분하다고 경고했습니다.
2026년 3월 16일에 발표된 이 조사 결과에 따르면, 해당 플랫폼의 보안 모델은 견고한 런타임 격리보다는 탐지 및 경고에 지나치게 의존하고 있어, 사용자를 호스트 수준의 침해 위험에 노출시키고 있는 것으로 나타났습니다.
보고서에 따르면, OpenClaw의 마켓플레이스인 Clawhub은 현재 시스템 자동화나 암호화폐 지갑 운영과 같은 기능을 AI 에이전트에 제공하는 제3자 애플리케이션인 "스킬(skills)"을 검토하기 위해 계층화된 검토 프로세스를 사용하고 있다. 이 파이프라인에는 알려진 악성코드를 스캔하는 Virustotal과, 의심스러운 코드 패턴을 식별하기 위해 2026년 3월 8일에 도입된 도구인 Static Moderation Engine이 포함되어 있다. 또한 이 보고서는 스킬의 명시된 목적과 실제 동작 간의 불일치를 감지하도록 설계된, 이른바 "비일관성 탐지기"도 포함하고 있다고 밝혔다. 그러나 Certik 연구진은 "적신호"를 탐지하는 정적 규칙이 단순한 코드 재작성을 통해 우회되었다고 지적했다. 또한 AI 검토 계층은 명백한 의도를 포착하는 데는 효과적이었으나, 겉보기에는 타당해 보이는 코드 내에 숨겨진 악용 가능한 취약점을 식별하는 데는 어려움을 겪었다고 주장했다.
'보류 중' 상태의 허점
Certik이 확인한 가장 심각한 결함 중 하나는 대기 중인 스캔 결과의 처리 방식입니다. 연구진은 Virustotal 결과가 아직 대기 중인 상태에서도(이 과정은 수시간에서 수일이 소요될 수 있음) 스킬이 마켓플레이스에서 활성화된 상태로 유지되며 설치 가능하다는 사실을 발견했습니다. 실제로 이러한 대기 중인 스킬들은 무해한 것으로 간주되어 사용자에게 경고 없이 설치될 수 있었습니다.
이 취약점을 입증하기 위해 Certik 연구진은 "test-web-searcher"라는 개념 증명(PoC) 스킬을 제작했다. 이 스킬은 정상적으로 작동하는 무해한 것처럼 보였지만, 호스트 머신에서 임의의 명령을 실행할 수 있게 하는 숨겨진 "취약점 형태의" 버그를 포함하고 있었습니다. 텔레그램을 통해 호출되었을 때, 이 스킬은 Openclaw의 선택적 샌드박싱을 성공적으로 우회하고 연구원의 머신에서 "계산기를 띄우는" 데 성공했는데, 이는 시스템 전체가 침해되었음을 보여주는 전형적인 사례입니다.
자율 AI: Openclaw 봇이 '자녀' 에이전트를 생성하고 비트코인으로 자금을 지원합니다
비트코인으로 인프라를 자율적으로 구입하는 혁신적인 Openclaw 에이전트에 대해 알아보세요. read more.
지금 읽기
자율 AI: Openclaw 봇이 '자녀' 에이전트를 생성하고 비트코인으로 자금을 지원합니다
비트코인으로 인프라를 자율적으로 구입하는 혁신적인 Openclaw 에이전트에 대해 알아보세요. read more.
지금 읽기자율 AI: Openclaw 봇이 '자녀' 에이전트를 생성하고 비트코인으로 자금을 지원합니다
지금 읽기비트코인으로 인프라를 자율적으로 구입하는 혁신적인 Openclaw 에이전트에 대해 알아보세요. read more.
이 보고서는 탐지가 진정한 보안 경계를 대체할 수 없다고 결론지었습니다. Certik은 Openclaw 개발자들에게 선택적 사용자 설정에 의존하기보다는 기본적으로 제3자 스킬을 격리된 환경에서 실행할 것을 촉구하고 있습니다. 또한 개발자들은 최신 모바일 운영 체제와 유사하게, 스킬이 필요한 특정 리소스를 사전에 명시해야 하는 모델을 구현해야 합니다.
사용자들에게 Certik은 엄중한 경고를 전했다. Clawhub의 "무해(benign)" 라벨은 보안의 증거가 아니라는 것이다. 더 강력한 격리가 기본값이 될 때까지는, 이 플랫폼은 민감한 자격 증명이나 자산이 없는 저가치 환경에서만 사용해야 한다.
자주 묻는 질문 ❓
- Certik은 Openclaw에서 어떤 보안 문제를 발견했나요? Certik은 Openclaw가 "스킬 스캔"에 의존하는 방식으로는 악성 제3자 확장 프로그램으로부터 사용자를 적절히 보호할 수 없다고 보고했습니다.
- Openclaw의 검토 프로세스는 어떻게 작동하나요? Openclaw는 Virustotal 및 비일관성 탐지기와 같은 도구를 포함한 다층적 검토 프로세스를 사용하여 제3자 "스킬"을 검토합니다.
- 스캔 결과가 대기 중인 상태에서의 중대한 결함은 무엇인가요? 스캔 결과가 대기 중인 동안에도 스킬이 활성화된 상태로 유지되고 설치 가능하므로, 사용자가 모르는 사이에 악성 확장 프로그램을 설치할 위험이 있습니다.
- 사용자는 Openclaw에서 데이터를 보호하기 위해 어떻게 해야 합니까? 개발자가 더 강력한 격리 조치를 구현할 때까지는 가치가 낮은 환경에서만 Openclaw를 사용할 것을 권장합니다.
