[오늘의 보안] OpenClaw AI 에이전트 취약점

<3줄 요약>

중국의 국가컴퓨터네트워크긴급응대조직(CNCERT)이 오픈소스 자율 AI 에이전트 OpenClaw의 기본 보안 설정 약화와 시스템 특권 접근 권한으로 인해 악의적 행위자가 엔드포인트를 제어할 수 있다고 경고했다.

프롬프트 인젝션(간접 프롬프트 인젝션/크로스도메인 프롬프트 인젝션) 공격을 통해 메시지 앱의 링크 프리뷰 기능을 악용하여 사용자의 민감한 정보가 공격자 제어 도메인으로 자동 전송될 수 있으며, 이는 사용자의 클릭 없이도 즉시 발생할 수 있다.

악의적 스킬 저장소(ClawHub) 업로드, 취약점 악용, 잘못된 명령 해석으로 인한 데이터 삭제 등의 위험이 있으며, 특히 금융·에너지 등 중요 부문에서는 비즈니스 데이터, 영업 비밀 유출 및 시스템 마비로 인한 막대한 손실 가능성이 있다.

<용어 설명>

OpenClaw(오픈클로우): 자율적 AI 작업 실행이 가능한 오픈소스 자체 호스팅 AI 에이전트로, 사용자 명령을 자동으로 처리할 수 있다.

프롬프트 인젝션(Prompt Injection): 악의적 명령어를 웹 페이지나 콘텐츠에 숨겨서 AI 모델이 이를 인식하고 실행하도록 속이는 공격 기법이다.

간접 프롬프트 인젝션(Indirect Prompt Injection, IDPI): 공격자가 직접 AI 모델과 상호작용하지 않고, 웹페이지 요약이나 콘텐츠 분석 같은 정상 AI 기능을 악용하여 조작된 명령을 실행하는 기법이다.

크로스도메인 프롬프트 인젝션(Cross-Domain Prompt Injection, XPIA): 여러 도메인에 걸쳐 서로 다른 웹사이트나 플랫폼에서 프롬프트 인젝션 공격을 수행하는 방식이다.

AI 에이전트(AI Agent): 사용자를 대신하여 웹 검색, 정보 검색, 작업 실행 등을 자동으로 수행하는 인공지능 시스템이다.

링크 프리뷰(Link Preview): Telegram이나 Discord 같은 메시징 앱에서 링크를 공유할 때 자동으로 표시되는 미리보기 기능이다.

데이터 유출(Data Exfiltration): 악의적 행위자가 민감한 정보를 무단으로 외부 시스템으로 전송하는 행위다.

ClawHub: OpenClaw의 스킬(플러그인)을 배포하는 저장소로, 악의적 스킬이 업로드될 수 있다.

ClickFix: 사용자를 속여 특정 명령이나 파일을 실행하도록 유도하는 소셜 엔지니어링 기법이다.

정보 탈취 멀웨어(Information Stealer): Atomic, Vidar Stealer 같이 피해자의 민감한 데이터(자격증명, 개인정보 등)를 수집하는 악성 프로그램이다.

<출처>

https://thehackernews.com/2026/03/openclaw-ai-agent-flaws-prompt-injection.html

 

<한글 버전>

중국의 국가컴퓨터네트워크긴급응대조직(CNCERT)이 오픈소스 자체 호스팅 자율 인공지능(AI) 에이전트인 OpenClaw(이전의 Clawdbot 및 Moltbot)의 사용으로 인해 비롯되는 보안 경고를 발표했습니다.

WeChat에 공유된 게시물에서 CNCERT은 플랫폼의 "본질적으로 약한 기본 보안 설정"과 자율 작업 실행 기능을 촉진하기 위한 시스템에 대한 특권 접근이 결합되어 나쁜 행위자들이 엔드포인트의 제어를 빼앗을 수 있다고 지적했습니다.

여기에는 웹 페이지에 포함된 악의적 지시사항이 에이전트가 콘텐츠에 접근하고 소비하도록 속으면 민감한 정보를 유출하도록 할 수 있는 프롬프트 인젝션으로 인해 발생하는 위험이 포함됩니다.

이 공격은 또한 간접 프롬프트 인젝션(IDPI) 또는 크로스 도메인 프롬프트 인젝션(XPIA)이라고도 불리며, 여기서 상대방은 대규모 언어 모델(LLM)과 직접 상호작용하는 대신 웹 페이지 요약 또는 콘텐츠 분석과 같은 양성 AI 기능을 무기화하여 조작된 지시사항을 실행합니다. 이는 AI 기반 광고 검토 시스템을 우회하고 채용 결정에 영향을 미치는 것부터 검색 엔진 최적화(SEO) 중독 및 부정적인 리뷰를 억압하여 편향된 응답을 생성하는 것까지 다양할 수 있습니다.

OpenAI는 이번 주 초에 발표한 블로그 게시물에서 프롬프트 인젝션 스타일 공격이 외부 콘텐츠에 지시사항을 배치하는 것을 넘어 사회 공학의 요소를 포함하도록 진화하고 있다고 말했습니다.

"AI 에이전트는 웹을 검색하고, 정보를 검색하며, 사용자를 대신하여 작업을 수행할 수 있는 능력이 점점 더 증가하고 있습니다"라고 말했습니다. "이러한 기능은 유용하지만 공격자가 시스템을 조작하려고 시도하는 새로운 방법도 만들어냅니다."

OpenClaw의 프롬프트 인젝션 위험은 가설이 아닙니다. 지난달 PromptArmor의 연구원들은 Telegram이나 Discord 같은 메시징 앱의 링크 프리뷰 기능이 간접 프롬프트 인젝션을 통해 OpenClaw와 통신할 때 데이터 유출 경로로 변환될 수 있음을 발견했습니다.

높은 수준에서의 아이디어는 AI 에이전트를 속여 공격자 제어 URL을 생성하도록 한 후, 메시징 앱에서 링크 프리뷰로 렌더링될 때 링크를 클릭하지 않고도 자동으로 해당 도메인으로 기밀 데이터를 전송하게 하는 것입니다.

"이는 링크 프리뷰가 있는 에이전트 시스템에서 사용자가 악의적 링크를 클릭할 필요 없이 AI 에이전트가 사용자에게 응답하는 즉시 데이터 유출이 발생할 수 있음을 의미합니다"라고 AI 보안 회사가 말했습니다. "이 공격에서는 에이전트가 공격자 도메인을 사용하는 URL을 구성하도록 조작되며, 모델이 사용자에 대해 알고 있는 민감한 데이터를 포함하는 동적으로 생성된 쿼리 매개변수가 추가됩니다."

불량 프롬프트 외에도 CNCERT은 세 가지 다른 우려 사항도 강조했습니다:

OpenClaw가 사용자 지시사항을 잘못 해석하여 실수로 돌이킬 수 없게 중요한 정보를 삭제할 가능성. 위협 행위자가 ClawHub 같은 저장소에 악의적 스킬을 업로드할 수 있으며, 설치되면 임의의 명령을 실행하거나 멀웨어를 배포합니다. 공격자가 OpenClaw에서 최근 공개된 보안 취약점을 악용하여 시스템을 손상시키고 민감한 데이터를 유출할 수 있습니다.

"금융 및 에너지와 같은 중요 부문의 경우 이러한 위반은 핵심 비즈니스 데이터, 영업 비밀 및 코드 저장소의 유출로 이어질 수 있으며, 심지어 전체 비즈니스 시스템의 완전한 마비로 인해 헤아릴 수 없는 손실을 초래할 수 있습니다"라고 CNCERT이 덧붙였습니다.

이러한 위험에 대처하기 위해 사용자 및 조직은 네트워크 제어를 강화하고, OpenClaw의 기본 관리 포트가 인터넷에 노출되는 것을 방지하고, 서비스를 컨테이너에 격리하고, 자격증명을 평문으로 저장하지 않고, 신뢰할 수 있는 채널에서만 스킬을 다운로드하고, 스킬의 자동 업데이트를 비활성화하고, 에이전트를 최신 상태로 유지할 것을 권고받습니다.

중국 당국이 보안 위험을 억제하기 위해 사무용 컴퓨터에서 OpenClaw AI 앱을 실행하는 것을 국영 기업 및 정부 기관으로부터 제한하도록 조치한 것으로 발전했습니다(Bloomberg에 보도됨). 이 금지 조치는 또한 군 인원의 가족들까지 확대된다고 합니다.

OpenClaw의 바이럴 인기로 인해 위협 행위자도 이 현상을 활용하여 OpenClaw 설치 프로그램으로 위장한 악의적 GitHub 저장소를 배포하여 Atomic 및 Vidar Stealer 같은 정보 탈취 프로그램과 ClickFix 스타일 지시사항을 사용하여 Golang 기반 프록시 멀웨어인 GhostSocks를 배포하고 있습니다.

"이 캠페인은 특정 산업을 대상으로 하지 않았지만 OpenClaw를 설치하려는 사용자를 광범위하게 대상으로 했으며, 악의적 저장소는 Windows 및 macOS 환경 모두에 대한 다운로드 지시사항을 포함했습니다"라고 Huntress가 말했습니다. "이를 성공적으로 만든 것은 멀웨어가 GitHub에 호스팅되었고 악의적 저장소가 OpenClaw Windows에 대한 Bing의 AI 검색 결과에서 최고 평점 제안이 되었다는 것입니다."

<원문>

China's National Computer Network Emergency Response Technical Team (CNCERT) has issued a warning about the security stemming from the use of OpenClaw (formerly Clawdbot and Moltbot), an open-source and self-hosted autonomous artificial intelligence (AI) agent.

In a post shared on WeChat, CNCERT noted that the platform's "inherently weak default security configurations," coupled with its privileged access to the system to facilitate autonomous task execution capabilities, could be explored by bad actors to seize control of the endpoint.

This includes risks arising from prompt injections, where malicious instructions embedded within a web page can cause the agent to leak sensitive information if it's tricked into accessing and consuming the content.

The attack is also referred to as indirect prompt injection (IDPI) or cross-domain prompt injection (XPIA), as adversaries, instead of interacting directly with a large language model (LLM), weaponize benign AI features like web page summarization or content analysis to run manipulated instructions. This can range from evading AI-based ad review systems and influencing hiring decisions to search engine optimization (SEO) poisoning and generating biased responses by suppressing negative reviews.

Cybersecurity OpenAI, in a blog post published earlier this week, said prompt injection-style attacks are evolving beyond simply placing instructions in external content to include elements of social engineering.

"AI agents are increasingly able to browse the web, retrieve information, and take actions on a user's behalf," it said. "Those capabilities are useful, but they also create new ways for attackers to try to manipulate the system."

The prompt injection risks in OpenClaw are not hypothetical. Last month, researchers at PromptArmor found that the link preview feature in messaging apps like Telegram or Discord can be turned into a data exfiltration pathway when communicating with OpenClaw by means of an indirect prompt injection.

The idea, at a high level, is to trick the AI agent into generating an attacker-controlled URL that, when rendered in the messaging app as a link preview, automatically causes it to transmit confidential data to that domain without having to click on the link.

"This means that in agentic systems with link previews, data exfiltration can occur immediately upon the AI agent responding to the user, without the user needing to click the malicious link," the AI security company said. "In this attack, the agent is manipulated to construct a URL that uses an attacker's domain, with dynamically generated query parameters appended that contain sensitive data the model knows about the user."

Besides rogue prompts, CNCERT has also highlighted three other concerns -

The possibility that OpenClaw may inadvertently and irrevocably delete critical information due to its misinterpretation of user instructions. Threat actors can upload malicious skills to repositories like ClawHub that, when installed, run arbitrary commands or deploy malware. Attackers can exploit recently disclosed security vulnerabilities in OpenClaw to compromise the system and leak sensitive data. "For critical sectors – such as finance and energy – such breaches could lead to the leakage of core business data, trade secrets, and code repositories, or even result in the complete paralysis of entire business systems, causing incalculable losses," CNCERT added.

To counter these risks, users and organizations are advised to strengthen network controls, prevent exposure of OpenClaw's default management port to the internet, isolate the service in a container, avoid storing credentials in plaintext, download skills only from trusted channels, disable automatic updates for skills, and keep the agent up-to-date.

Cybersecurity The development comes as Chinese authorities have moved to restrict state-run enterprises and government agencies from running OpenClaw AI apps on office computers in a bid to contain security risks, Bloomberg reported. The ban is also said to extend to the families of military personnel.

The viral popularity of OpenClaw has also led threat actors to capitalize on the phenomenon to distribute malicious GitHub repositories posing as OpenClaw installers to deploy information stealers like Atomic and Vidar Stealer, and a Golang-based proxy malware known as GhostSocks using ClickFix-style instructions.

"The campaign did not target a particular industry, but was broadly targeting users attempting to install OpenClaw with the malicious repositories containing download instructions for both Windows and macOS environments," Huntress said. "What made this successful was that the malware was hosted on GitHub, and the malicious repository became the top-rated suggestion in Bing's AI search results for OpenClaw Windows."