[뉴스스페이스=김문균 기자] 오픈소스 AI 어시스턴트 오픈클로(OpenClaw)가 심각한 보안 취약점을 드러내며, 수천 개의 배포된 인스턴스에 영향을 미치는 광범위한 보안 결함을 보여준 독립 보안 분석에서 100점 만점에 단 2점을 받았다.

forbes, peerlist, the-decoder, cyberkendra, dataprixa, 404media, aicerts에 따르면, 개발자 Lucas Valbuena는 지난주 Clawdbot 및 Moltbot으로 알려졌던 OpenClaw를 ZeroLeaks 보안 분석 도구로 테스트한 결과, 84%의 추출률과 91%의 인젝션 공격 성공률을 발견했다.

시스템 프롬프트는 첫 시도에서 완전히 노출되었으며, 이는 OpenClaw 기반 에이전트와 상호작용하는 누구나 완전한 시스템 프롬프트, 내부 도구 구성 및 메모리 파일에 접근할 수 있음을 의미한다.

AI가 AI를 100분 만에 정복…Hackian의 원클릭 RCE 발각

Ethiack의 자율 AI 침투 테스트 도구 Hackian은 2026년 1월 26일 신규 OpenClaw 인스턴스를 대상으로 1시간 40분 만에 원클릭 계정 탈취를 통한 원격 코드 실행(RCE, CVE-2026-25253)을 확인했다. 게이트웨이 제어 UI의 WebSocket 취약점을 악용, URL 매개변수로 공격자 서버 연결을 유발하며 인증 토큰을 유출시켰다. 패치는 1월 28일 메인 브랜치에 적용됐으나, 이미 수천 인스턴스가 위험에 처했다.

Shodan 스캔 5,000개 노출…API 키·대화 기록 대량 유출

Shodan 검색으로 확인된 노출된 OpenClaw 게이트웨이는 초기 5,000개 이상, 1월 30일 기준 1,842개로 집계됐으며, 인증 미설정 인스턴스가 Claude·OpenAI·Gemini API 키, VPN 자격증명, 전체 대화 기록을 공개했다. Akto 텔레메트리는 5,000개 이상을 보고했으나 중복 포함으로 780~1,842개 범위로 추정된다. 포트 18789(TCP)가 기본 공개돼 제로 인증 C2 서버로 악용됐다.

바이럴 성장 속 Moltbook DB 3만2,000 에이전트 키 노출

OpenClaw는 일주일 만에 GitHub 10만~11만8,000 스타, 웹사이트 200만 방문자를 기록하며 Hostinger·DigitalOcean 원클릭 배포를 촉발했다. 연계 소셜 네트워크 Moltbook은 Supabase DB에서 Row Level Security 미설정으로 3만2,000개 이상 AI 에이전트의 API 키·클레임 토큰·검증 코드(149만 레코드)를 공개, Andrej Karpathy 에이전트 포함 계정 탈취가 가능했다. 두 SQL 문으로 수정됐으나, 100만 인간 방문자 속 37,000 에이전트 생태계가 이미 위험에 노출됐다.

업계 경고…Karpathy "SF 급성장, 보안 악몽"

테슬라 전 AI 디렉터 Andrej Karpathy는 OpenClaw를 "최근 본 SF 같은 급성장"이라 칭찬하면서도 "대규모 보안 악몽"으로 지적했다. 관리자 Shadow는 Discord에서 "명령줄 이해 못 하면 너무 위험"이라고 경고했으며, 창작자 Peter Steinberger는 "프롬프트 인젝션은 업계 미해결 문제"로 인정했다. Cisco 등은 평문 자격증명 저장·공급망 취약(26% 스킬 결함)을 지적하며 제로 트러스트 아키텍처를 권고했다.