보안 태세, 로드맵, 그리고 실제 행동을 수행할 수 있는 에이전트에 대한 우리의 접근 방식.
컴퓨팅 보안의 새로운 시대
지난 20년간 보안 모델은 디바이스와 애플리케이션을 잠그는 데 초점을 맞춰 왔습니다 - 프로세스 간 통신의 경계를 설정하고, 인터넷과 로컬을 분리하며, 신뢰할 수 없는 코드를 샌드박싱하는 방식이었습니다. 이러한 원칙은 여전히 중요합니다.
하지만 AI 에이전트는 근본적인 변화를 의미합니다.
코드가 지시하는 대로 정확히 실행하는 기존 소프트웨어와 달리, AI 에이전트는 자연어를 해석하고 행동에 대한 결정을 내립니다. 사용자 의도와 기계 실행 사이의 경계를 모호하게 만듭니다. 언어 자체를 통해 조작될 수 있습니다.
OpenClaw과 같은 도구의 뛰어난 유용성에는 큰 책임이 따른다는 것을 잘 알고 있습니다. 잘못 만들면 AI 에이전트는 위험 요소가 됩니다. 제대로 만들면 개인 컴퓨팅을 더 나은 방향으로 바꿀 수 있습니다.
이 보안 프로그램은 제대로 만들기 위해 존재합니다.
배경
OpenClaw은 AI 에이전트 플랫폼입니다. 텍스트만 생성하는 챗봇과 달리 OpenClaw 에이전트는 다음을 수행할 수 있습니다:
- 호스트 머신에서 셸 명령 실행
- WhatsApp, Telegram, Discord, Slack 등 다양한 채널을 통한 메시지 전송
- 작업 공간의 파일 읽기 및 쓰기
- 인터넷에서 임의의 URL 가져오기
- 자동화된 작업 예약
- 연결된 서비스 및 API 접근
이러한 기능이 OpenClaw을 유용하게 만듭니다. 동시에 보안을 매우 중요하게 만드는 이유이기도 합니다.
실제 행동을 수행할 수 있는 AI 에이전트는 기존 소프트웨어에는 없는 위험을 초래합니다:
- 프롬프트 인젝션 - 악의적인 사용자가 AI를 조작하여 의도하지 않은 행동을 수행하도록 메시지를 조작할 수 있습니다
- 간접 인젝션 - 가져온 URL, 이메일 또는 문서의 악성 콘텐츠가 에이전트 동작을 탈취할 수 있습니다
- 도구 남용 - 인젝션 없이도 잘못 구성된 에이전트는 과도하게 허용적인 설정으로 피해를 줄 수 있습니다
- 신원 위험 - 에이전트가 사용자를 대신하여 메시지를 보낼 수 있어 관계나 평판에 피해를 줄 수 있습니다
이것은 이론적인 것이 아닙니다. 모든 AI 에이전트 시스템에 영향을 미치는 문서화된 공격 패턴입니다.
범위
이 보안 프로그램은 OpenClaw 생태계 전체를 다룹니다. 범위 밖은 없습니다.
핵심 플랫폼
- OpenClaw CLI 및 Gateway (
openclaw) - 에이전트 실행 엔진
- 도구 구현
- 채널 통합 (WhatsApp, Telegram, Discord, Slack, Signal 등)
애플리케이션
- macOS 데스크톱 애플리케이션
- iOS 모바일 애플리케이션
- Android 모바일 애플리케이션
- 웹 인터페이스
서비스
- ClawHub (clawhub.ai) - 스킬 마켓플레이스 및 레지스트리
- 문서 (docs.openclaw.ai)
- 모든 호스팅 인프라
확장 기능
- 공식 확장 기능 (
extensions/) - 플러그인 SDK 및 서드파티 플러그인
- ClawHub을 통해 배포되는 스킬
인적 요소
- 핵심 메인테이너 및 기여자
- 보안 프로세스 및 대응 절차
- 공급망 및 의존성 관리
프로그램 개요
4단계로 구성된 공식 보안 기능을 수립하고 있습니다:
투명성
커뮤니티 기여를 통해 공개적으로 위협 모델 개발
제품 보안 로드맵
방어 엔지니어링 목표를 정의하고 공개적으로 추적
코드 리뷰
전체 코드베이스에 대한 수동 보안 검토
보안 트리아지
취약점 보고서 처리를 위한 공식 프로세스
1단계: 투명성
목표
위협 모델을 공개적으로 개발 및 공표하여 커뮤니티 기여를 독려함으로써, 사용자들이 위험을 이해하고 배포에 대한 정보에 입각한 결정을 내릴 수 있도록 합니다.
이유
모호함을 통한 보안은 효과가 없습니다. 공격자들은 이미 이러한 기술을 알고 있습니다 - 학술 논문, 보안 블로그, 컨퍼런스 발표에 문서화되어 있습니다. 부족한 것은 사용자에 대한 명확한 커뮤니케이션입니다:
- 어떤 위험이 존재하는지
- 우리가 어떤 조치를 취하고 있는지
- 사용자가 스스로를 보호하기 위해 무엇을 해야 하는지
위협 모델을 공개적으로 개발함으로써 집단 전문성의 혜택을 받고 투명성을 통해 신뢰를 구축합니다.
위협 모델 범위
| 카테고리 | 다루는 위험 |
|---|---|
| A. 입력 조작 | 직접 프롬프트 인젝션, 간접 인젝션, 도구 인자 인젝션, 컨텍스트 조작 |
| B. 인증 및 접근 | AllowFrom 우회, 권한 상승, 세션 간 접근, API 키 노출 |
| C. 데이터 보안 | 시스템 프롬프트 노출, 작업 공간 노출, 메모리 유출, 데이터 유출 |
| D. 인프라 | SSRF, Gateway 노출, 의존성 취약점, 파일 권한 |
| E. 운영 | 민감한 데이터 로깅, 불충분한 모니터링, 리소스 고갈, 잘못된 구성 |
| F. 공급망 | ClawHub 스킬 무결성, 확장 기능 보안, 의존성 취약점 |
위협 모델 범위
| 구성 요소 | 포함 이유 |
|---|---|
| 핵심 플랫폼 (CLI, Gateway, 에이전트, 도구) | 주요 공격 표면 |
| ClawHub (clawhub.ai) | 스킬 마켓플레이스 - 공급망 위험 |
| 모바일 앱 (iOS, Android) | 에이전트 제어 인터페이스, 자격 증명 저장 |
| 데스크톱 앱 (macOS) | Gateway 호스트, 시스템 통합 |
| 확장 기능 및 플러그인 | 서드파티 코드 실행 |
| 빌드 및 릴리스 파이프라인 | 배포 무결성 |
위협 모델의 각 위험에는 설명 및 심각도 등급, 공격 예시, 현재 완화 조치, 알려진 취약점, 사용자 권장 사항이 포함됩니다.
위협 모델은 풀 리퀘스트를 통해 커뮤니티 기여를 받을 수 있습니다.
2단계: 제품 보안 로드맵
목표
방어 엔지니어링 목표를 정의하는 공개 제품 보안 로드맵을 만들어 GitHub 이슈로 추적하여 커뮤니티가 진행 상황을 따라가고, 의견을 제공하며, 기여할 수 있도록 합니다.
방어 엔지니어링 목표
| 카테고리 | 목표 | 설명 |
|---|---|---|
| 프롬프트 인젝션 방어 | 입력 검증 | 인젝션 시도에 대한 패턴 감지 및 알림 |
| 도구 확인 | 민감한 행동에 대해 명시적 승인 필요 | |
| 컨텍스트 격리 | 세션 간 오염 방지 | |
| 프라이버시 강화 | 시스템 프롬프트 보호 | 시스템 프롬프트 노출 방지 |
| 데이터 최소화 | 불필요한 데이터 보존 감소 | |
| 감사 로깅 | 에이전트 행동에 대한 명확한 가시성 | |
| 접근 제어 | 세밀한 권한 관리 | 도구별, 세션별 접근 제어 |
| 속도 제한 | 리소스 고갈 방지 | |
| 비용 제어 | API 비용에 대한 하드 리밋 | |
| 공급망 | 스킬 검증 | ClawHub 스킬에 대한 무결성 검사 |
| 의존성 감사 | 자동화된 취약점 스캐닝 | |
| 서명된 릴리스 | 업데이트의 암호학적 검증 |
구체적인 우선순위 이슈는 3단계 코드 리뷰를 통해 식별되며, 발견 및 분류되는 대로 공개 로드맵에 추가됩니다.
3단계: 코드 리뷰
목표
커뮤니티가 이미 24시간 체제로 결함을 찾고 해결하고 있으며 모든 기여에 감사드립니다. 하지만 이것은 기여자들이 최선을 다하는 오픈소스 프로젝트임을 인식하고 있습니다. 3단계는 깊이 뿌리박힌 시스템적 문제를 찾아내고 전반적인 코드 품질 및 사용자 안전성을 개선하기 위해 특별히 설계된 전용 종합 보안 평가입니다.
범위
코드 리뷰는 OpenClaw 코드베이스와 생태계 전체를 다룹니다:
| 영역 | 경로 | 이유 |
|---|---|---|
| 에이전트 실행 | src/agents/ | 핵심 공격 표면 - 에이전트 실행 방식 |
| 도구 구현 | src/agents/tools/ | 에이전트가 할 수 있는 것 - 실행, 메시징, 웹 |
| 메시지 처리 | src/auto-reply/ | 모든 사용자 입력의 진입점 |
| 보안 유틸리티 | src/security/ | 기존 보안 제어 |
| Gateway 서버 | src/gateway/ | 네트워크에 노출된 구성 요소 |
| 인증 | src/*/auth* | 자격 증명 처리, API 키 |
| 세션 관리 | src/config/sessions.ts | 세션 간 격리 |
| 페어링 및 접근 제어 | src/pairing/, src/*/access-control* | DM 및 그룹 게이팅 |
| 외부 콘텐츠 처리 | src/security/external-content.ts | 인젝션 방어 |
| macOS 데스크톱 앱 | apps/macos/ | Gateway 호스트, 시스템 통합 |
| iOS 모바일 앱 | apps/ios/ | 에이전트 제어, 자격 증명 저장 |
| Android 모바일 앱 | apps/android/ | 에이전트 제어, 자격 증명 저장 |
| ClawHub | clawhub.ai | 스킬 레지스트리 - 공급망 위험 |
| 공식 확장 기능 | extensions/ | 퍼스트파티 플러그인 |
| 빌드 및 릴리스 파이프라인 | CI/CD, scripts | 배포 무결성, 서명 |
접근 방식
- 수동 코드 리뷰 - 보안에 중요한 경로에 대한 사람 중심 분석
- 자동화된 스캐닝 - 정적 분석, 의존성 감사, 시크릿 탐지
- 동적 테스트 - 실행 중인 시스템에 문서화된 공격 패턴 시도
- 아키텍처 리뷰 - 신뢰 경계 및 데이터 흐름 평가
공개
- 모든 치명적 및 높은 심각도 발견 사항은 공개 전 수정
- 수정 후 발견 사항 요약 공개
- 요청 시 전체 보고서 제공
- 해당되는 경우 CVE 할당
4단계: 보안 트리아지 기능
목표
보안 취약점 보고서를 접수, 분류, 대응하기 위한 공식 프로세스를 수립합니다.
취약점 보고
우리는 보안 보고서를 진지하게 다룹니다. 이슈가 존재하는 리포지토리에 직접 취약점을 보고해 주세요:
- 핵심 CLI 및 Gateway - openclaw/openclaw
- macOS 데스크톱 앱 - openclaw/openclaw (apps/macos)
- iOS 앱 - openclaw/openclaw (apps/ios)
- Android 앱 - openclaw/openclaw (apps/android)
- ClawHub - openclaw/clawhub
- Trust 및 위협 모델 - openclaw/trust
특정 리포지토리에 해당하지 않거나 확실하지 않은 경우 security@openclaw.ai로 이메일을 보내주시면 적절히 전달하겠습니다.
보고서 필수 항목
재현 단계, 실증된 영향, 수정 조언이 없는 보고서는 우선순위가 낮아집니다. AI 생성 스캐너 결과의 양이 많기 때문에, 이슈를 이해하는 연구자로부터 검증된 보고서를 받고 있는지 확인해야 합니다.
응답 SLA
| 심각도 | 정의 | 최초 응답 | 트리아지 | 수정 목표 |
|---|---|---|---|---|
| 치명적 | RCE, 인증 우회, 대규모 데이터 노출 | 24시간 | 48시간 | 7일 |
| 높음 | 상당한 영향, 단일 사용자 범위 | 48시간 | 5일 | 30일 |
| 보통 | 제한적 영향, 특정 조건 필요 | 5일 | 14일 | 90일 |
| 낮음 | 경미한 이슈, 심층 방어 | 14일 | 30일 | 최선 노력 |
우리의 약속
- 완전한 보고서에 대해 48시간 이내에 확인 회신
- 최소 14일마다 상태 업데이트 제공
- 어드바이저리에 연구자 크레딧 표기 (익명 요청 시 제외)
- 선의의 보안 연구에 대해 법적 조치를 취하지 않음
- 치명적/높은 심각도 발견에 대해 보상금 검토 (사안별)
보안 및 신뢰
Jamieson O'Reilly (@theonejvo)는 OpenClaw의 보안 및 신뢰 담당입니다.
Jamieson은 Dvuln의 창업자이자, Aether AI(세계에서 가장 강력한 AI, 당신 편에서)의 공동 창업자이며, CREST 자문 위원회 위원으로 공격 보안, 침투 테스트, 보안 프로그램 개발에 풍부한 경험을 갖고 있습니다.
책임
- 위협 모델링 및 위험 평가 주도
- 코드 리뷰 범위 설정 및 감독
- 트리아지 프로세스 및 대응 절차 수립
- 보안에 중요한 코드 변경 사항 검토
- 보안 아키텍처 결정에 대한 가이던스 제공
현재 보안 태세
OpenClaw에는 이미 보안 제어가 마련되어 있습니다. 기존 제어를 이해하면 사용자가 배포를 적절하게 구성하는 데 도움이 됩니다.
기본 보안 설정
알 수 없는 발신자는 만료 코드를 사용하여 페어링 절차를 완료해야 합니다
허용 목록에 없는 명령은 기본적으로 거부되며, 사용자에게 승인을 요청합니다
구성되지 않은 경우, 본인의 번호만 에이전트에 DM을 보낼 수 있습니다
대화는 세션 키별로 격리됩니다
web_fetch에서 내부 IP 및 localhost 차단
WebSocket 연결은 인증이 필요합니다
설정 확인하기
openclaw security audit --deep확인해야 할 주요 항목:
- DM 정책이
pairing또는allowlist인지 확인 (open이 아닌지) - 채널에
allowFrom이 구성되어 있는지 확인 - 의도하지 않는 한 실행 보안이
full로 설정되지 않았는지 확인 - Gateway가 루프백에 바인딩되어 있거나 인증 뒤에 있는지 확인
- 작업 공간에 시크릿이 포함되어 있지 않은지 확인
일정
1-2주차: 1단계 - 투명성 ├── 위협 모델 개발 시작 (기여 가능) ├── 보안 구성 가이드 초안 작성 ├── 시각적 개요 작성 └── 공지 게시 3-4주차: 2단계 - 제품 보안 로드맵 ├── 방어 엔지니어링 목표에 대한 GitHub 이슈 생성 ├── 보안 라벨 및 마일스톤 설정 ├── 커뮤니티 의견 수렴 기간 시작 └── 첫 번째 보안 작업 시작 5-8주차: 3단계 - 코드 리뷰 준비 ├── 범위 확정 (전체 코드베이스) ├── 리뷰 시작 └── 초기 발견 사항 8-12주차: 3단계 - 코드 리뷰 실행 ├── 수동 리뷰 완료 ├── 발견 사항 문서화 ├── 치명적/높은 심각도 수정 └── 검증 완료 8주차 이후: 4단계 - 트리아지 기능 ├── security@openclaw.ai 운영 시작 ├── PGP 키 공개 ├── 공개 정책 게시 └── 첫 번째 어드바이저리 (필요 시) 지속적: ├── 월간 보안 업데이트 ├── 위협 모델 지속적 개선 ├── 정기적 의존성 감사 └── 커뮤니티 참여
자주 묻는 질문
네, 적절한 구성을 하면 안전합니다. OpenClaw에는 기본적으로 보안 제어가 활성화되어 있습니다:
- DM 정책: 기본값
pairing- 알 수 없는 발신자는 만료 코드를 사용한 페어링 절차를 완료해야 합니다 - 실행 보안: 기본값
deny와ask: on-miss- 위험한 명령은 승인이 필요합니다 - AllowFrom: 구성되지 않은 경우, 기본값은 본인만
- Gateway 인증: 기본적으로 필수
openclaw security audit --deep을 실행하여 설정을 확인하세요. docs.openclaw.ai/gateway/security 참조
이러한 공격 기술은 이미 공개 지식입니다 - 논문, 블로그, 발표에 문서화되어 있습니다. 공개적으로 개발하면 집단 전문성의 혜택을 받고, 투명성을 통해 신뢰를 구축하며, 우리에게 책임감을 부여합니다.
자동화된 스캐너와 AI 도구로부터 이슈를 이해하지 못한 채 이론적 문제만 표시하는 보고서를 받고 있습니다. 보고자에게 수정 방안을 제안하도록 요구함으로써 스캐너 노이즈를 필터링하고, 이슈를 이해하는 연구자로부터 실행 가능한 보고서를 받으며, 전문가 의견으로 수정을 가속화합니다.
ClawHub (clawhub.ai)은 전체 보안 프로그램 범위에 포함됩니다 - 위협 모델, 코드 리뷰, 지속적 모니터링. 스킬은 에이전트 컨텍스트에서 실행되는 코드이므로 공급망 보안이 매우 중요합니다.
모든 애플리케이션이 범위에 포함됩니다. iOS 앱, Android 앱, macOS 데스크톱 앱 모두 코드 리뷰 대상이며 위협 모델에 포함됩니다. 범위 밖은 없습니다.
- 풀 리퀘스트를 통해 위협 모델에 기여
- 보안 라벨이 붙은 이슈 검토 및 코멘트
- 해당 리포지토리에 취약점 보고 (확실하지 않으면 security@openclaw.ai)
- 보안 문서 개선에 도움