Post

OpenClaw 취약점(CVE-2026-25253), 악성 링크 클릭만으로 원격 코드 실행 가능

OpenClaw에서 발견된 CVE-2026-25253 취약점은 CVSS 8.8점의 고위험 보안 결함으로, 악성 링크 클릭만으로 원격 코드 실행이 가능합니다. 2026년 1월 30일 버전 2026.1.29에서 패치되었습니다.

Posted
OpenClaw 보안 취약점 CVE-2026-25253 개념도
OpenClaw 보안 취약점 CVE-2026-25253 개념도
By webi
8 min read
OpenClaw 취약점(CVE-2026-25253), 악성 링크 클릭만으로 원격 코드 실행 가능

3줄 요약

  • OpenClaw(구 Clawdbot, Moltbot)에서 악성 링크 클릭만으로 원격 코드 실행이 가능한 CVE-2026-25253 취약점 발견
  • CVSS 8.8점의 고위험 토큰 탈취 취약점으로 2026년 1월 30일 버전 2026.1.29에서 패치 완료
  • WebSocket Origin 헤더 검증 미흡으로 인한 CSWSH 공격 가능, 샌드박스 우회 및 호스트 시스템 제어까지 가능

📌 주요 내용

CVE-2026-25253 취약점 상세 분석

OpenClaw(이전 명칭: Clawdbot, Moltbot)에서 심각한 보안 취약점이 공개되었습니다. CVE-2026-25253로 추적되는 이 취약점은 CVSS 점수 8.8점의 고위험 보안 결함으로, 조작된 악성 링크를 통해 원격 코드 실행(RCE)을 허용합니다.

OpenClaw의 개발자이자 유지보수자인 Peter Steinberger는 보안 권고문에서 “Control UI가 쿼리 스트링의 gatewayUrl을 검증 없이 신뢰하고 로드 시 자동으로 연결하여, WebSocket 연결 페이로드에 저장된 게이트웨이 토큰을 전송한다”고 설명했습니다.

이 취약점은 2026년 1월 30일 출시된 버전 2026.1.29에서 수정되었습니다.

OpenClaw 프로젝트 개요

OpenClaw는 사용자 기기에서 로컬로 실행되며 다양한 메시징 플랫폼과 통합되는 오픈소스 자율 인공지능(AI) 개인 비서입니다. 2025년 11월에 처음 출시되었으며, 최근 몇 주 동안 급격한 인기를 얻어 현재 GitHub 리포지토리에서 149,000개 이상의 스타를 기록하고 있습니다.

Steinberger는 “OpenClaw는 사용자의 머신에서 실행되고 이미 사용 중인 채팅 앱에서 작동하는 오픈 에이전트 플랫폼입니다. 데이터가 다른 사람의 서버에 저장되는 SaaS 어시스턴트와 달리, OpenClaw는 노트북, 홈랩 또는 VPS 등 사용자가 선택한 곳에서 실행됩니다”라고 설명했습니다.

공격 메커니즘 및 실행 과정

depthfirst의 창립 보안 연구원 Mav Levin이 발견한 이 취약점은 피해자가 단일 악성 웹 페이지를 방문한 후 밀리초 내에 실행되는 원클릭 RCE 익스플로잇 체인을 생성할 수 있습니다.

문제의 핵심은 OpenClaw 서버가 WebSocket Origin 헤더를 검증하지 않는다는 점입니다. 이로 인해 서버는 모든 웹사이트의 요청을 수락하여 localhost 네트워크 제한을 효과적으로 우회할 수 있습니다.

악성 웹 페이지는 다음과 같은 방식으로 취약점을 악용할 수 있습니다:

  1. 피해자 브라우저에서 클라이언트측 JavaScript 실행
  2. 인증 토큰 검색
  3. 서버에 WebSocket 연결 수립
  4. 탈취한 토큰을 사용하여 인증 우회 및 피해자의 OpenClaw 인스턴스에 로그인

권한 상승 및 샌드박스 탈출

더욱 심각한 점은 토큰의 특권화된 operator.admin 및 operator.approvals 스코프를 활용하여 공격자가 API를 사용해 다음과 같은 작업을 수행할 수 있다는 것입니다:

  • “exec.approvals.set”을 “off”로 설정하여 사용자 확인 비활성화
  • “tools.exec.host”를 “gateway”로 설정하여 셸 도구 실행에 사용되는 컨테이너 탈출

Levin은 “이렇게 하면 에이전트가 Docker 컨테이너 내부가 아닌 호스트 머신에서 직접 명령을 실행하도록 강제합니다. 마지막으로 임의 명령 실행을 달성하기 위해 공격자 JavaScript가 node.invoke 요청을 실행합니다”라고 설명했습니다.

보안 아키텍처의 구조적 한계

Levin은 The Hacker News와의 이메일 인터뷰에서 “이러한 방어 장치(샌드박스 및 안전 가드레일)는 예를 들어 프롬프트 인젝션의 결과로 발생하는 LLM의 악의적인 행동을 억제하기 위해 설계되었습니다. 사용자들은 이러한 방어 장치가 이 취약점으로부터 보호하거나 폭발 반경을 제한할 것이라고 생각할 수 있지만, 그렇지 않습니다”라고 언급했습니다.

Steinberger는 권고문에서 “이 취약점은 루프백에서만 수신 대기하도록 구성된 인스턴스에서도 악용 가능합니다. 피해자의 브라우저가 아웃바운드 연결을 시작하기 때문입니다”라고 강조했습니다.

👨‍💻 개발자에게 미치는 영향

즉각적인 패치 적용 필요

OpenClaw를 사용하는 모든 개발자와 조직은 즉시 버전 2026.1.29 이상으로 업데이트해야 합니다. 이 취약점은 사용자가 Control UI에 인증한 모든 Moltbot 배포에 영향을 미치며, 공격자는 게이트웨이 API에 대한 운영자 수준 접근 권한을 획득하여 임의의 구성 변경 및 게이트웨이 호스트에서의 코드 실행이 가능합니다.

WebSocket 보안 검증의 중요성

이번 사례는 WebSocket 구현 시 Origin 헤더 검증의 중요성을 다시 한번 상기시킵니다. 개발자들은 WebSocket 연결을 수락하기 전에 반드시 Origin 헤더를 검증하고, 신뢰할 수 있는 출처의 연결만 허용해야 합니다.

AI 에이전트 보안 모델 재검토

AI 기반 자율 에이전트의 보안 모델은 단순히 LLM의 악의적 행동만을 방어하는 것이 아니라, 외부 공격 벡터까지 고려한 포괄적인 접근이 필요함을 보여줍니다. 샌드박스와 안전 가드레일은 내부 위협뿐만 아니라 외부 공격에 대해서도 견고해야 합니다.

원문 기사 보기

Infrastructure, Cloud
OpenClaw CVE-2026-25253 원격코드실행 RCE WebSocket보안 AI보안 취약점 샌드박스이스케이프
This post is licensed under CC BY 4.0 by the author.