OpenClaw ‘ClawJacked’ 취약점 – 악성 웹사이트가 로컬 AI 에이전트 탈취
OpenClaw에서 인증 없는 WebSocket 접근 취약점이 발견되어 외부 악성웹사이트가 로컬 AI 에이전트를 탈취할 수 있었습니다.
비밀번호 무차별 대입 공격과 자동 장치등록 승인으로 인해 위험이 증폭됐습니다.
2026년 2월 25일, 신고 후 24시간 이내에 보안 패치가 신속히 배포되었습니다.
🎯 인사이트: 로컬 서버도 외부 위협에서 안전하지 않다는 사실을 다시 확인한 중요한 사례입니다.
1. ClawJacked 취약점의 기술적 원리
OpenClaw는 로컬에서 실행되는 AI 에이전트와 웹 브라우저를 연결하는 게이트웨이 서비스입니다. 사용자가 웹 인터페이스를 통해 AI 에이전트에 명령을 내리면, OpenClaw가 이를 전달하고 결과를 반환합니다. 이 과정에서 WebSocket 프로토콜을 이용한 실시간 양방향 통신이 이뤄집니다.
Oasis Security 연구팀은 ClawJacked 취약점이 로컬에서 실행되는 WebSocket 서버에 인증 없이 누구나 접근할 수 있다는 점에 주목했습니다. OpenClaw가 로컬 연결(localhost)에 대해 과도하게 신뢰하는 보안 모델을 채택한 결과, 악성 웹사이트의 JavaScript가 사용자의 브라우저 자동 실행 환경을 이용해 로컬 OpenClaw 게이트웨이에 WebSocket으로 연결을 시도할 수 있었습니다.
이렇게 연결이 되면, 웹 브라우저의 동일 출처 정책(Same-Origin Policy)도 우회되어 공격자가 브라우저 백그라운드에서 에이전트에 임의의 명령을 전달할 수 있었습니다.
2. 공격 시나리오 및 영향 범위
실제 시나리오에서는 공격자가 악성코드를 삽입한 웹사이트나 피싱사이트에 사용자를 유인해 브라우저에서 로컬 OpenClaw 게이트웨이 WebSocket에 자동으로 연결하게 만듭니다. 연결이 성사될 경우 AI 에이전트에 원하는 명령을 내릴 수 있으며, 이를 통해 파일 탈취, 민감 정보 유출, 사용자의 이름으로 타 사이트 접근 등이 가능합니다.
rate limiting(비밀번호 시도 제한)이 적용되지 않아 공격자가 무차별 대입 방식으로 비밀번호를 쉽게 추측할 수 있는 상태였고, 장치 등록도 자동승인되어 위협이 더욱 컸습니다. 추가로 여러 개의 취약점(CVE-2026-25593 등)도 확인되어 복합적·연쇄적 피해 위험성이 컸습니다. OpenClaw의 보급 규모가 커질수록 그 위험은 확장됩니다.
3. 패치 현황 및 대응 방안
취약점은 2026년 2월 24일 신고돼 이튿날인 2월 25일 OpenClaw Gateway v2.1.3에서 긴급 패치가 이뤄졌습니다. 사용자들은 즉시 최신 버전으로 업데이트해야 하며, 자동 업데이트 기능을 확인하거나 수동으로 공식 사이트에서 설치하는 것이 바람직합니다.
또한 로컬 서비스에 대해 알 수 없는 연결, 이상 활동 여부를 수시로 점검해야 하며, 평소 의심스러운 웹사이트 방문을 자제하는 등 기본적인 보안 습관 유지가 요구됩니다. 패치가 나왔다 해도 새로운 유사 취약점 등장 가능성은 늘 상존하기 때문입니다.
4. 보안 업계에 주는 시사점
ClawJacked 이슈는 로컬에서만 동작하는 서비스 역시 외부 공격에 결코 안전하지 않음을 다시금 일깨워줍니다. 개발자는 로컬 서비스에도 인증과 시도 제한 등 기초적인 보안 조치를 반드시 적용해야 하며, 보안 연구자-개발팀 간 즉각적인 소통 및 취약점 대응 체계가 얼마나 중요한지 확인할 수 있는 사례이기도 합니다.
최신 패치를 주기적으로 적용하고, 로컬 서비스라도 기본 인증·접속 제한 등 필수 보안 방어를 반드시 구축하세요.
또한 새로운 패치 발표와 취약점 공개에 늘 귀를 기울이며 조직 내부에서 관련 정책을 반복 점검하는 것이 중요한 실무 수칙입니다.