CertiK 실사: 취약점이 있는 OpenClaw Skill이 어떻게 심사를 우회하여 무단으로 컴퓨터를 장악하는가

최근, 오픈소스 자체 호스팅 AI 에이전트 플랫폼인 OpenClaw(커뮤니티 내 별칭 "크레이피쉬")는 유연한 확장성과 자율적 제어 가능한 배포 특성으로 빠르게 인기를 얻어 개인용 AI 에이전트 트랙의 현상급 제품이 되었습니다. 그 생태계의 핵심인 Clawhub는 애플리케이션 마켓플레이스로서 방대한 양의 서드파티 Skill 기능 플러그인을 모아, 에이전트가 웹 검색, 콘텐츠 제작부터 암호화폐 지갑 조작, 온체인 상호작용, 시스템 자동화 등 고급 기능까지 원클릭으로 해제할 수 있게 하여 생태계 규모와 사용자 수가 폭발적으로 증가하고 있습니다.

그러나 이러한 고권한 환경에서 실행되는 서드파티 Skill에 대해, 플랫폼의 진정한 보안 경계는 과연 어디에 있을까요?

최근, 글로벌 최대의 Web3 보안 기업인 CertiK가 Skill 보안에 대한 최신 연구를 발표했습니다. 보고서는 현재 시장이 AI 에이전트 생태계의 보안 경계에 대해 인식 오류가 있음을 지적했습니다: 업계는 보편적으로 "Skill 스캔"을 핵심 보안 경계로 삼고 있지만, 이 메커니즘은 해커 공격 앞에서는 거의 무용지물에 가깝습니다.

OpenClaw를 스마트 기기의 운영체제에 비유한다면, Skill은 시스템에 설치된 다양한 APP입니다. 일반 소비자용 APP과 달리, OpenClaw의 일부 Skill은 고권한 환경에서 실행되어 로컬 파일 접근, 시스템 도구 호출, 외부 서비스 연결, 호스트 환경 명령 실행, 심지어 사용자의 암호화 디지털 자산 조작까지 직접적으로 가능합니다. 일단 보안 문제가 발생하면 민감 정보 유출, 기기 원격 제어, 디지털 자산 도난 등의 심각한 결과를 초래할 수 있습니다.

현재 업계 전체가 서드파티 Skill에 대해 채택한 일반적인 보안 솔루션은 "출시 전 스캔 심사"입니다. OpenClaw의 Clawhub도 3단계 심사 방어 체계를 구축했습니다: VirusTotal 코드 스캔, 정적 코드 검출 엔진, AI 논리 일관성 검출을 융합하여 위험 등급을 매기고 사용자에게 보안 팝업 알림을 제공함으로써 생태계 보안을 지키려 시도하고 있습니다. 그러나 CertiK의 연구와 개념 증명(PoC) 공격 테스트는 이 검출 체계가 실제 공격-방어 대결에서 취약점이 있으며, 보안 방어의 핵심 임무를 감당할 수 없음을 확인시켜 주었습니다.

연구는 먼저 기존 검출 메커니즘의 본질적 한계를 분석했습니다:

정적 검출 규칙은 우회하기 매우 쉽습니다. 이 엔진의 핵심은 코드 특징을 매칭하여 위험을 식별하는 데 있습니다. 예를 들어 "환경 민감 정보 읽기 + 외부 네트워크 요청"의 조합을 고위험 행위로 판단합니다. 그러나 공격자는 코드에 약간의 문법적 변형만 가하면 악성 로직을 완전히 유지한 채로 특징 매칭을 쉽게 우회할 수 있습니다. 이는 위험한 내용에 동의어 표현을 바꿔 씌우는 것과 같아, 보안 검사기를 완전히 무력화시킵니다.

AI 심사는 선천적인 검출 사각지대가 존재합니다. Clawhub의 AI 심사 핵심은 "논리 일관성 검출기"로, "선언된 기능과 실제 행동이 불일치하는" 명백한 악성 코드만 걸러낼 수 있습니다. 그러나 정상적인 비즈니스 로직에 숨겨진 악용 가능한 취약점에는 속수무책입니다. 마치 겉보기에는 규정을 준수하는 계약서에서, 조항 깊숙이 숨겨진 치명적인 함정을 발견하기 어려운 것과 같습니다.

더 치명적인 것은, 심사 프로세스에 기본 설계 결함이 존재한다는 점입니다: VirusTotal의 스캔 결과가 아직 "처리 중" 상태일 때도, 전체 "건강 검진" 절차를 완료하지 않은 Skill이 바로 출시되어 공개될 수 있으며, 사용자는 경고 없이 설치를 완료할 수 있어 공격자에게 기회를 제공합니다.

위험의 실제 해악성을 입증하기 위해, CertiK 연구팀은 완전한 테스트를 수행했습니다. 팀은 "test-web-searcher"라는 이름의 Skill을 개발했는데, 표면적으로는 완전히 규정을 준수하는 웹 검색 도구이며, 코드 로직은 일반적인 개발 규범을 완전히 따르지만, 실제로는 정상 기능 흐름에 원격 코드 실행 취약점을 심어 놓았습니다.

이 Skill은 정적 엔진과 AI 심사의 검출을 우회했으며, VirusTotal 스캔이 여전히 처리 중 상태일 때, 어떠한 보안 경고도 없이 정상 설치가 가능했습니다. 결국 Telegram을 통해 원격으로 한 줄의 명령을 보내 취약점을 성공적으로 트리거하여, 호스트 기기에서 임의 명령 실행(데모에서는 시스템 계산기를 직접 팝업시킴)을 달성했습니다.

CertiK는 연구에서 이러한 문제들이 OpenClaw만의 고유한 제품 버그가 아니라, 전체 AI 에이전트 업계의 보편적인 인식 오류라고 명확히 지적했습니다: 업계는 보편적으로 "심사 스캔"을 핵심 보안 방어선으로 삼고 있지만, 진정한 보안의 기반은 런타임 시의 강제적 격리와 정교한 권한 통제임을 간과하고 있습니다. 이는 마치 Apple iOS 생태계의 보안 핵심이 결코 App Store의 엄격한 심사가 아니라, 시스템이 강제하는 샌드박스 메커니즘과 정교한 권한 통제, 즉 각 APP이 전용 "격리실"에서만 실행되어 시스템 권한을 마음대로 획득할 수 없게 하는 것과 같습니다. 반면 OpenClaw의 기존 샌드박스 메커니즘은 선택 사항이며 강제적이지 않고, 사용자의 수동 구성에 크게 의존합니다. 대다수 사용자는 Skill의 기능 가용성을 보장하기 위해 샌드박스를 해제하는 것을 선택하여, 결국 에이전트가 "맨몸" 상태가 됩니다. 일단 취약점이나 악성 코드가 포함된 Skill을 설치하면 바로 재앙적인 결과를 초래할 수 있습니다.

이번에 발견된 문제에 대해, CertiK는 다음과 같은 보안 지침을 제시했습니다:

● OpenClaw 등의 AI 에이전트 개발자에게는, 샌드박스 격리를 서드파티 Skill의 기본 강제 구성으로 설정하고, Skill의 권한 통제 모델을 정교화하여, 서드파티 코드가 기본적으로 호스트 머신의 고권한을 상속받는 것을 절대 허용해서는 안 됩니다.

● 일반 사용자에게는, Skill 마켓에서 "안전" 태그가 붙은 Skill은 단지 위험이 검출되지 않았다는 것을 의미할 뿐, 절대적인 안전을 의미하지는 않습니다. 공식적으로 기본 강제 격리 메커니즘을 기본 구성으로 설정하기 전까지는, OpenClaw를 중요하지 않은 유휴 장치나 가상 머신에 배포하고, 절대로 민감한 파일, 비밀 인증 정보, 고가치 암호화 자산 근처에 두지 않는 것이 좋습니다.

현재 AI 에이전트 트랙은 폭발 직전에 있으며, 생태계 확장 속도가 결코 보안 구축의 발걸음을 앞지르면 안 됩니다. 심사 스캔은 초보적인 악성 공격만 막을 수 있을 뿐, 고권한 에이전트의 보안 경계가 될 수는 없습니다. 오직 "완벽한 검출 추구"에서 "위험 존재를 전제로 한 피해 억제"로, 런타임 기본 계층에서 강제적으로 격리 경계를 확립해야만, 비로소 AI 에이전트의 보안 하한선을 확실히 담보하고, 이 기술 혁신이 안정적으로 멀리 나아갈 수 있을 것입니다.

연구 원문: https://x.com/hhj4ck/status/2033527312042315816?s=20

https://mp.weixin.qq.com/s/Wxrzt7bAo86h3bOKkx6 UoA