Ars Technica • 57일 전

인기 AI 에이전트 '오픈클로' 심각한 보안 취약점 발견

IMP

9/10

핵심 요약

개발자들 사이에서 바이러스처럼 유행 중인 AI 에이전트 도구 '오픈클로(OpenClaw)'에서 최소 권한의 공격자가 시스템 전체를 장악할 수 있는 치명적인 권한 상승 취약점(CVE-2026-33579)이 발견되어 패치되었습니다. 특히 인터넷에 공개된 오픈클로 인스턴스의 63%가 인증 절차 없이 운영되고 있어, 이미 수많은 사용자가 해킹 피해를 입었을 가능성이 큽니다. 대규모 민감 데이터 접근 권한을 가진 LLM이 자율적으로 작동하는 근본적인 위험성과 패치 지연에 따른 실질적인 보안 위협이 확인된 매우 중요한 사안입니다.

번역된 본문

한 달 넘게 보안 전문가들은 개발자 커뮤니티를 휩쓴 바이러스성 AI 에이전트 도구인 '오픈클로(OpenClaw)' 사용의 위험성에 대해 경고해 왔습니다. 최근 패치된 취약점은 그 이유가 무엇인지 생생한 사례로 남깁니다.

지난 11월에 소개되어 현재 깃허브(Github)에서 347,000개의 스타를 기록하고 있는 오픈클로는 기본적으로 사용자의 컴퓨터를 제어하고 다른 앱 및 플랫폼과 상호 작용하여 파일 정리, 연구, 온라인 쇼핑 등 다양한 작업을 돕도록 설계되었습니다. 유용하게 사용되려면 가능한 한 많은 리소스에 대한 광범위한 접근 권한이 필요합니다. 텔레그램(Telegram), 디스코드(Discord), 슬랙(Slack), 로컬 및 공유 네트워크 파일, 계정 및 로그인된 세션 등은 의도된 리소스의 일부에 불과합니다. 접근 권한이 부여되면 오픈클로는 사용자와 똑같이 동일한 광범위한 권한과 기능으로 정확히 작동하도록 설계되었습니다.

치명적인 영향 이번 주 초, 오픈클로 개발자들은 심각도가 높은 세 가지 취약점에 대한 보안 패치를 릴리스했습니다. 그 중 특히 'CVE-2026-33579'라는 취약점은 사용된 측정 지표에 따라 10점 만점 중 8.1점에서 9.8점 사이로 평가되며, 그에는 타당한 이유가 있습니다. 이 취약점은 페어링 권한(가장 낮은 수준의 권한)을 가진 사람이라면 누구나 관리자 상태를 얻을 수 있도록 허용합니다. 이를 통해 공격자는 오픈클로 인스턴스가 접근할 수 있는 모든 리소스를 제어할 수 있게 됩니다.

AI 앱 빌더 블링크(Blink)의 연구원들은 이렇게 지적했습니다. "실질적인 영향은 매우 심각합니다. 오픈클로 배포에서 가장 낮은 의미의 권한인 'operator.pairing' 범위를 이미 보유한 공격자는 'operator.admin' 범위를 요청하는 기기 페어링 요청을 승인할 수 있습니다. 이 승인이 통과되면 공격자 기기는 오픈클로 인스턴스에 대한 전체 관리자 액세스 권한을 갖게 됩니다. 2차 익스플로잇은 필요하지 않으며, 초기 페어링 단계 이외에는 사용자의 상호 작용이 전혀 필요하지 않습니다."

블링크는 게시물에서 계속해서 다음과 같이 덧붙였습니다. "오픈클로를 전사적 AI 에이전트 플랫폼으로 운영하는 조직의 경우, 'operator.admin' 장치가 탈취당하면 연결된 모든 데이터 소스를 읽고, 에이전트 스킬 환경에 저장된 자격 증명을 유출하며, 임의의 도구를 실행하고, 다른 연결된 서비스로 측면 이동할 수 있습니다. '권한 상승(Privilege escalation)'이라는 단어조차 이 상황의 심각성을 축소하는 것입니다. 결과는 인스턴스 전체 장악입니다."

취약점은 패치되었지만, 이는 수많은 인스턴스가 사용자가 전혀 눈치채지 못한 채 이미 손상되었을 수 있음을 의미합니다. 오픈클로가 센세이션으로 떠오른 이래, 보안 전문가들은 본질적으로 불안정하고 기본적인 실수를 저지르기 쉬운 대규모 언어 모델(LLM)이 이토록 방대한 민감 리소스에 접근하여 자율적으로 행동하는 데서 오는 위험을 경고해 왔습니다. 올해 초, 한 메타(Meta) 임원은 자신의 팀에게 회사 노트북에서 오픈클로를 사용하지 말 것을 지시했으며, 이를 어기면 해고하겠다고 말한 바 있습니다. 이 임원은 이 도구의 예측 불가능성이 안전한 환경에서도 보안 침해를 초래할 수 있다고 말했습니다. 다른 관리자들도 동일한 지시를 내렸으며, 보안 연구원들 역시 계속해서 경고를 발령해 왔습니다.

우려를 더하는 점은, 이 패치가 일요일에 배포되었지만 화요일이 되어서야 공식 CVE 목록에 등재되었다는 것입니다. 즉, 대부분의 오픈클로 사용자가 패치해야 한다는 사실을 알기 전에 기민한 공격자들이 익스플로잇(Exploit)을 시도할 수 있는 이틀간의 시간을 먼저 가졌다는 뜻입니다.

실제 공격 가능성을 더 높이는 요인으로, 블링크는 올해 초 실시된 스캔에서 인터넷에 노출된 135,000개의 오픈클로 인스턴스 중 63%가 인증 없이 실행되고 있음을 발견했습니다. 그 결과, 공격자들은 이미 자격 증명 없이도 관리 제어 권한을 얻는 데 필요한 페어링 권한을 확보하고 있었습니다.

블링크는 이렇게 설명했습니다. "이러한 배포 환경에서는 네트워크 방문자라면 누구나 사용자 이름이나 비밀번호를 제공하지 않고도 페어링 액세스를 요청하고 'operator.pairing' 범위를 얻을 수 있습니다. CVE-2026-33579의 진행을 늦추어야 할 인증 관문이 존재하지 않는 것입니다." 이 취약점은 관리 권한 요청 중에 오픈클로가 적절한 인증을 호출하지 않은 데서 비롯되었습니다.

원문 보기

원문 보기 (영어)

Text settings Story text Size Small Standard Large Width * Standard Wide Links Standard Orange * Subscribers only Learn more Minimize to nav For more than a month, security practitioners have been warning about the perils of using OpenClaw, the viral AI agentic tool that has taken the development community by storm. A recently fixed vulnerability provides an object lesson for why. OpenClaw, which was introduced in November and now boasts 347,000 stars on Github, by design takes control of a user’s computer and interacts with other apps and platforms to assist with a host of tasks, including organizing files, doing research, and shopping online. To be useful, it needs access—and lots of it—to as many resources as possible. Telegram, Discord, Slack, local and shared network files, accounts, and logged in sessions are only some of the intended resources. Once the access is given, OpenClaw is designed to act precisely as the user would, with the same broad permissions and capabilities. Severe impact Earlier this week, OpenClaw developers released security patches for three high-severity vulnerabilities. The severity rating of one in particular, CVE-2026-33579 , is rated from 8.1 to 9.8 out of a possible 10 depending on the metric used—and for good reason. It allows anyone with pairing privileges (the lowest-level permission) to gain administrative status. With that, the attacker has control of whatever resources the OpenClaw instance does. “The practical impact is severe,” researchers from AI app-builder Blink wrote . “An attacker who already holds operator.pairing scope—the lowest meaningful permission in an OpenClaw deployment—can silently approve device pairing requests that ask for operator.admin scope. Once that approval goes through, the attacking device holds full administrative access to the OpenClaw instance. No secondary exploit is needed. No user interaction is required beyond the initial pairing step.” The post continued: “For organizations running OpenClaw as a company-wide AI agent platform, a compromised operator.admin device can read all connected data sources, exfiltrate credentials stored in the agent’s skill environment, execute arbitrary tool calls, and pivot to other connected services. The word ‘privilege escalation’ undersells this: the outcome is full instance takeover.” While fixed, the vulnerability means that thousands of instances may have been compromised without users having the slightest idea. Ever since OpenClaw rose to viral sensation, security professionals have warned of the dangers that come from an LLM—by its very nature unreliable and prone to the most basic of mistakes—gaining access to such a vast number of sensitive resources and acting autonomously. Earlier this year , a Meta executive said he told his team to keep OpenClaw off their work laptops or risk being fired. The executive said the unpredictability of the tool could lead to breaches in otherwise secure environments. Other managers have issued the same mandate. Security researchers, too, have issued warnings. Further adding to concern, the patches dropped on Sunday but didn’t receive a formal CVE listing until Tuesday. That means that alert attackers had a two-day headstart to exploit before most OpenClaw users would have known to patch. Making the chances of active exploitation more likely, Blink said that 63 percent of the 135,000 OpenClaw instances found exposed to the Internet in a scan earlier this year were running without authentication. The result is that attackers already had the pairing privileges required to gain administrative control with no credentials required. “On these deployments, any network visitor can request pairing access and obtain operator.pairing scope without providing a username or password,” Blink said. “The authentication gate that is supposed to slow down CVE-2026-33579 does not exist.” The vulnerability stems from the failure of OpenClaw to invoke any authentication during the request for administrative-level pairing. The core approval function—src/infra/device-pairing.ts—didn’t examine the security permissions of the approving party to check if they have the privileges required to grant the request. As long as the pairing request was well-formed it was approved. The guidance to assume compromise is well-founded. Anyone who runs OpenClaw should carefully inspect all /pair approval events listed in activity logs over the last week. Beyond that, users should reconsider their use of OpenClaw altogether. Whatever efficiency may be gained from using the tool could easily be undone in the event a threat actor obtains the keys to a network kingdom. Post updated to remove reference to Reddit post. Dan Goodin Senior Security Editor Dan Goodin Senior Security Editor Dan Goodin is Senior Security Editor at Ars Technica, where he oversees coverage of malware, computer espionage, botnets, hardware hacking, encryption, and passwords. In his spare time, he enjoys gardening, cooking, and following the independent music scene. Dan is based in San Francisco. Follow him at here on Mastodon and here on Bluesky. Contact him on Signal at DanArs.82. 38 Comments

보안 취약점 AI 에이전트 권한 상승 오픈소스 해킹 위협