서론: 감사 AI는 해커의 현금자동입출기(ATM)와 같습니다.
1단계에서는 OpenClaw 아키텍처의 시스템적 결함을 밝혀냈습니다. 오늘은 실제 발생한 세 가지 "끔찍한 사건"을 살펴보겠습니다. 이 사례들은 AI 에이전트 분야에서 가장 기본적인 실수가 종종 가장 파괴적인 자산 붕괴로 이어진다는 냉혹한 현실을 보여줍니다.
사례 1: 150만 건의 증거 유출 – “정서 프로그래밍”의 치명적인 대가 공개
배경: OpenClaw의 핵심 AI 에이전트인 소셜 플랫폼 Moltbook에서 대규모 데이터 유출 사고가 발생했습니다.
• 사건의 핵심: 150만 개 이상의 상담원 계정 정보가 유출되었습니다.
• 치명적인 이유는 복잡한 제로데이 취약점 때문이 아니라, 가장 기본적인 접근 제어 메커니즘이 완전히 무력했기 때문입니다.
• 심층 분석: Moltbook의 창립자는 시스템 전체 코드가 AI(Vibe Coding)에 의해 자동으로 생성되었으며 자신은 단 한 줄의 코드도 작성하지 않았다고 인정했습니다.
WEEX Labs는 "정서 프로그래밍"이 개발 장벽을 제로에 가깝게 낮췄지만, 동시에 보안 장벽을 마이너스 수준으로 낮췄다고 지적합니다. AI는 기능을 생성할 수는 있지만, 아직 "방어 직관"을 생성할 수는 없습니다. 인간의 보안 감사 거치지 않은 AI 코드는 모래 위에 고층 빌딩을 짓는 것과 같습니다.
사례 2: 평문으로 저장된 "보물 지도" – 정보 탈취 트로이목마의 정밀한 추적.
배경: 2026년 2월, 한 보안 회사가 OpenClaw 사용자를 특별히 표적으로 삼는 데이터 탈취 트로이목마 Vidar의 새로운 변종을 발견했습니다.
• 공격 경로: 해커는 코드 취약점을 찾아낼 필요가 없습니다. 트로이목마의 "파일 탈취" 규칙을 업데이트하고 기본 디렉터리인 ~/.openclaw를 스캔하기만 하면 됩니다.
• 손실 규모: 백만 대 이상의 기기 에 저장된 AI ID가 탈취될 리스크 에 처해 있습니다.
• 기술적 단점: OpenClaw는 토큰 및 개인 키와 같은 핵심적인 민감 정보를 로컬 구성 파일에 평문 으로 저장합니다.
WEEX Labs는 "오픈 소스"라고 해서 기밀 데이터를 넘겨줄 수 있다는 의미는 아니라고 지적합니다 . Web3 환경에서 로컬 설정 파일의 보안 수준은 개인 키의 보안 수준과 동일해야 합니다. OpenClaw의 이러한 설계 결함은 AI 비서를 해커의 "안내자"로 전락시켰습니다.
사례 3: CVE-2026-25253은 단 한 번의 클릭으로 즉각적인 취약점 발생을 초래할 수 있는 고위험 원격 코드 실행(RCE) 취약점입니다.
배경: 2026년 1월, OpenClaw는 CVSS 점수가 8.8 에 달하는 고위험 취약점을 긴급하게 패치했습니다.
• 공격 방법: 크로스 사이트 웹소켓 하이재킹(CSWSH).
• 가장 무서운 점은 인증되지 않은 원격 공격자가 피해자가 악성 링크를 클릭하도록 유도한 다음, 브라우저를 발판으로 삼아 샌드박스를 우회하고 호스트 시스템에서 임의의 저수준 시스템 명령을 실행할 수 있다는 것입니다.
• 교훈: "로컬 액세스"가 보안을 의미하는 것은 아닙니다.
WEEX Labs는 다음과 같이 지적합니다. "이번 취약점은 '제로 트러스트 아키텍처'의 중요성을 다시 한번 보여줍니다. AI 에이전트가 시스템 권한을 빈번하게 사용하는 오늘날, 외부 링크를 클릭하는 것만으로도 전체 시스템이 손상될 가능성이 있습니다."
WEEX 랩 요약
이 세 가지 사례는 인공지능 보안에 대한 세 가지 위협, 즉 제어 불가능한 코드(사례 1), 암호화되지 않은 데이터(사례 2), 그리고 불안정한 경계(사례 3)를 보여줍니다. 인공지능이 가져올 폭발적인 생산성 향상을 추구하는 과정에서 보안이라는 기본 원칙을 지키지 않는다면, 우리가 개발하는 모든 인공지능 비서는 시스템 내부에 숨겨진 시한폭탄이 될 수 있습니다.
