며칠 전, 클로드봇(Clawdbot)은 8만 개 이상의 별을 받으며 깃허브에서 가장 인기 있는 오픈 소스 프로젝트 중 하나였습니다. 이 프로젝트는 왓츠앱, 텔레그램, 디스코드와 같은 메시징 앱을 통해 시스템 전체에 접근하여 AI 비서를 로컬에서 실행할 수 있게 해주는 놀라운 기술력을 보여줍니다.
오늘날, 이 플랫폼은 법적 문제로 브랜드명을 변경해야 했고, 암호화폐 사기꾼들에게 점령당했으며, 한때 시가총액이 1,600만 달러에 달했다가 폭락한 가짜 토큰과 연관되어 있고, 노출된 게이트웨이와 접근 가능한 자격 증명을 발견한 연구원들의 비판을 받고 있습니다.
논란은 앤트로픽(Anthropic)이 창립자 피터 스타인버거에게 상표권 침해 소송을 제기하면서 시작되었습니다. 클로드봇(Claudbot) 설치에 자사의 클로드(Claude) 모델이 사용되고 있는 이 AI 회사는 "Clawd"라는 이름이 "Claude"와 너무 유사하다고 판단했습니다. 상표법은 상표법이니 당연한 조치입니다.
하지만 이는 곧 여러 가지 문제를 야기했고, 그 문제들은 연쇄적으로 발생하기 시작했습니다.
스테인버거는 X 플랫폼에서 클로드봇(Clawdbot)이라는 이름을 몰트봇(Moltbot)으로 변경한다고 발표했습니다. 클로드봇이라는 이름은 바닷가재를 뜻하는 말장난이었는데, 이유는 묻지 마세요. 커뮤니티의 반응은 대체로 긍정적이었습니다. 프로젝트 공식 계정에는 "바로 그 바닷가재의 영혼, 새로운 껍데기" 라는 글이 올라왔습니다 .
다음으로, 스타인버거는 깃허브 조직과 X 계정의 이름을 동시에 변경했습니다. 하지만 기존 계정을 해제하고 새 계정을 확보하는 숏 시간 동안 암호화폐 사기꾼들이 두 계정을 모두 탈취했습니다.
해킹당한 계정들은 즉시 솔라나(Solana) 에서 CLAWD라는 가짜 토큰을 대량으로 거래하기 시작했습니다. 몇 시간 만에 투기성 거래자들은 해당 토큰의 시가총액을 1,600만 달러 이상으로 끌어올렸습니다.
초기 투자자들은 막대한 수익을 올렸다고 주장했습니다. 스타인버거는 토큰과 아무런 관련이 없다고 부인했습니다. 시가총액은 급락했고, 후발 투자자들은 큰 손실을 입었습니다.
"모든 암호화폐 관계자 여러분께: 제발 저에게 연락하거나 괴롭히지 마세요."라고 스테인버거는 썼습니다. "저는 어떤 코인도 발행하지 않을 겁니다. 저를 코인 소유자로 명시하는 프로젝트는 모두 사기입니다. 수수료도 받지 않을 겁니다. 당신들은 적극적으로 프로젝트에 피해를 주고 있습니다."
암호화폐 투자자들은 그의 거절을 좋게 받아들이지 않았다. 일부 투기꾼들은 스테인버거의 거절 때문에 손실을 입었다고 생각하며 그를 괴롭히는 캠페인을 벌였다. 그는 배신자라는 비난과 " 책임을 져야 한다 "는 요구에 직면했고, 한 번도 들어본 적 없는 프로젝트를 지지하라는 조직적인 압력을 받았다.
결국 슈타인버거는 계정들을 되찾을 수 있었습니다. 하지만 그 사이에 보안 연구원들은 수백 개의 클로드봇(Clawdbot) 인스턴스가 아무런 인증 절차 없이 공개 인터넷에 노출되어 있다는 사실을 지적할 좋은 기회라고 판단했습니다. 다시 말해, 사용자들은 악의적인 공격자들이 쉽게 악용할 수 있는 권한을 인공지능에 무분별하게 부여하고 있었던 것입니다.
디크립트(Decrypt) 의 보도 에 따르면, AI 개발자 루이스 카타코라는 Shodan 스캔을 실행한 결과, 많은 문제가 초보 사용자들이 에이전트에 너무 많은 권한을 부여한 데서 비롯된다는 사실 을 발견했습니다 . 그는 "Shodan을 확인해 보니 18789번 포트에 제로 인증으로 노출된 게이트웨이가 있습니다."라고 썼습니다. "이는 셸 접근, 브라우저 자동화, API 키 접근을 의미합니다. Cloudflare Tunnel은 무료인데, 변명의 여지가 없습니다."
레드팀 전문 기업 드불른(Dvuln)의 설립자 제이미슨 오라일리 역시 취약한 서버를 식별하는 것이 매우 쉽다는 사실을 발견했습니다. 오라일리는 더 레지스터(The Register) 와의 인터뷰에서 "제가 직접 조사한 사례 중 8개는 인증 절차 없이 개방되어 있었습니다."라고 말했습니다. 수십 개의 서버는 부분적인 보호 조치만 적용되어 있어 보안 노출을 완전히 차단하지 못했습니다.
기술적인 문제는 무엇일까요? 클로드봇의 인증 시스템은 로컬호스트 연결, 즉 사용자의 컴퓨터로의 연결을 자동으로 승인합니다. 대부분의 사용자가 리버스 프록시 뒤에서 소프트웨어를 실행하는 경우, 모든 연결이 127.0.0.1에서 오는 것처럼 보이고 외부에서 시작된 연결이라도 자동으로 승인됩니다.
블록체인 보안 회사인 슬로우미스트(SlowMist)는 해당 취약점을 확인하고 여러 코드 결함으로 인해 자격 증명 탈취 및 원격 코드 실행이 발생할 수 있다고 경고했습니다. 연구원들은 이메일을 이용한 공격을 포함하여 다양한 프롬프트 주입 공격을 시연 했는데, 이 공격은 AI 인스턴스를 속여 공격자에게 개인 메시지를 전달하도록 유도하는 방식으로 이루어졌으며, 단 몇 분 만에 완료되었습니다.
파운더OS 개발자 압둘무이즈 아데예모는 "보안 감사를 거치기 전에 바이러스처럼 확산되면 이런 일이 벌어집니다."라며 "'공개 빌드'에는 아무도 이야기하지 않는 어두운 면이 있습니다." 라고 썼습니다 .
AI 애호가와 개발자들에게 다행인 점은 프로젝트 자체가 중단되지 않았다는 것입니다. Moltbot 은 Clawdbot과 동일한 소프트웨어이며, 코드는 안정적이지만, 과장된 홍보와는 달리 초보자가 사용하기에는 다소 어렵습니다. 활용 사례는 실제로 존재하지만, 아직 주류로 자리 잡을 단계는 아닙니다. 그리고 보안 문제도 여전히 남아 있습니다.
셸 접근, 브라우저 제어 및 자격 증명 관리 기능을 갖춘 자율 AI 에이전트를 실행하면 기존 보안 모델이 대비하지 못했던 공격 표면이 생성됩니다. 로컬 배포, 영구 메모리 및 사전 예방적 작업과 같은 이러한 시스템의 경제적 이점 때문에 업계의 보안 태세가 적응할 속도보다 도입 속도가 훨씬 빠릅니다.
암호화폐 사기꾼들은 여전히 다음 혼란의 틈을 노리고 있습니다 . 단 한 번의 부주의, 실수, 또는 허점만으로도 충분합니다. 알고 보니 10초면 충분한 시간입니다.
