10만 개발자, AI에 루트 권한을 줬더니...

발표자는 오픈클로(OpenClaw)가 광범위한 권한(Root Access)을 갖도록 설계되어, 이메일, 비밀번호, API 키 등 모든 정보에 접근할 수 있다고 설명한다. 1600개 이상의 오픈클로(OpenClaw) 인스턴스가 노출되었으며, 공격자는 API 키(API Keys), Slack OAUTH 토큰(Slack OAUTH Tokens), Anthropic API 자격 증명(Anthropic API Credentials) 등 민감한 정보를 탈취할 수 있었다고 강조한다. 이는 데이터 격리 아키텍처(Data Isolation Architecture) 부재의 심각성을 보여준다.

영상에서는 오픈클로(OpenClaw)의 스킬 레지스트리(Skill Registry)를 통해 악성 스킬이 배포될 수 있음을 지적한다. 공격자는 'What would Elon do'라는 악성 스킬을 만들어, 다운로드 횟수를 조작하고, 사용자의 IP를 스푸핑(Spoofing)하여 외부 서버(External Server)로 HTTP 요청을 전송했다. 이로 인해, 사용자는 자신도 모르게 악성 코드(Malicious Code)를 실행하게 되는 위험에 노출되었다.

발표자는 오픈클로(OpenClaw)의 근본적인 문제로 AI 에이전트(AI Agent)가 유용성을 위해 모든 권한을 필요로 한다는 점을 지적한다. 메시지 읽기(Read Messages), 자격 증명(Credentials), 명령 실행(Command Execution), 지속적인 상태(Persistent State) 등, 이러한 요소 중 하나라도 제거되면 에이전트는 무용지물이 된다. 이는 AI 환각(Hallucination)과 더불어, AI 에이전트의 보안 모델(Security Model) 구축의 어려움을 보여준다.

영상에서는 오픈클로(OpenClaw)의 보안 취약점에 대한 대응 방안으로, 게이트웨이 포트(Gateway Port)를 인터넷에 노출하지 않고, Cloudflare Tunnel을 사용하며, 설치된 스킬을 감사할 것을 권고한다. 또한, 다운로드 횟수를 맹신하지 말고, AI 에이전트(AI Agent)를 사용하기 전에 보안 문서를 읽을 것을 강조한다. 이는 GDPR 규제 준수(GDPR Compliance)와 더불어, AI 에이전트 사용 시 데이터 미저장 정책(Zero-Retention Policy)의 중요성을 시사한다.