OpenClaw 보안 취약점으로 무인증 관리자 권한 획득 가능
원제: OpenClaw gives users yet another reason to be freaked out about security
왜 중요한가
AI 에이전트 도구의 광범위한 권한과 자율성이 보안 위험을 크게 증가시킴을 보여주는 사례
AI 에이전트 도구 OpenClaw에서 CVE-2026-33579 등 3개의 고위험 취약점이 발견되었다. 이 중 가장 심각한 취약점은 최하위 권한만으로도 관리자 권한을 무단 획득할 수 있게 하며, 심각도는 최대 9.8점으로 평가되었다.
지난 11월 출시되어 Github에서 34만7천 스타를 받은 바이럴 AI 에이전트 도구 OpenClaw에서 심각한 보안 취약점이 발견되었다. 이번 주 개발진이 공개한 3개의 고위험 취약점 중 CVE-2026-33579는 심각도가 8.1~9.8점으로 평가되며, 최하위 권한인 pairing 권한만 있어도 관리자 권한을 획득할 수 있다. AI 앱 빌더 Blink의 연구진은 "공격자가 operator.pairing 권한만으로도 관리자 권한을 요구하는 디바이스 페어링 요청을 조용히 승인할 수 있다"며 "이후 추가 공격 없이도 OpenClaw 인스턴스 전체를 완전히 장악할 수 있다"고 설명했다. 기업에서 사용하는 경우 공격자는 모든 연결된 데이터 소스를 읽고, 자격 증명을 탈취하며, 다른 서비스로 확산할 수 있다. 이 도구는 설계상 사용자의 컴퓨터를 제어하고 Telegram, Discord, Slack 등 광범위한 리소스에 접근하도록 되어 있어, 보안 전문가들은 출시 초기부터 위험성을 경고해왔다. Meta 임원은 직원들에게 업무용 노트북에서 OpenClaw 사용을 금지했으며, 패치가 일요일에 배포되었지만 수천 개의 인스턴스가 사용자 모르게 이미 침해되었을 가능성이 있다.