2025년 말, 오픈소스 자율형 AI 에이전트 Clawdbot(이후 Moltbot으로 이름 변경)는 폭발적인 도입 속도와 강력한 로컬 실행 기능으로 개발자 및 보안 커뮤니티 전반에서 빠르게 주목을 받았다. Moltbot은 자체 호스팅 방식의 AI 어시스턴트로 설계되어, 대규모 언어 모델을 실제 시스템·애플리케이션·자격 증명과 연결해 사용자를 대신해 작업을 자율적으로 수행할 수 있도록 한다.
Moltbot 자체는 악성 소프트웨어가 아니지만, 안전하지 않게 배포될 경우 아키텍처 특성상 공격 표면이 크게 확장될 수 있다. 특히 인터넷에 노출된 제어 인터페이스, 취약한 인증 방식, 민감한 자격 증명의 평문 저장은 보안 연구자들의 우려를 불러왔다. 실제로 여러 사례에서 잘못 구성된 Moltbot 인스턴스가 외부에 공개된 채로 발견되어, 내부 데이터와 실행 권한, 제3자 서비스 자격 증명이 노출된 것이 확인되었다.
아키텍처 개요 및 노출 가능성
프로젝트 명: Clawdbot / Moltbot
카테고리: 자체 호스팅형 자율 AI 에이전트
배포 방식: 로컬 머신 또는 클라우드 VM
주요 기능:
- 명령 실행
- 애플리케이션 및 API 연동
- 자격 증명 기반 작업 자동화
Moltbot은 대규모 언어 모델과 실제 운영 환경을 연결하는 에이전트형 브리지로 설계되었다. 기존의 단순 채팅 인터페이스와 달리, 쉘 명령 실행, 파일 접근, API 상호작용, 메시징 플랫폼·이메일 시스템·생산성 도구 등 외부 서비스 전반의 워크플로우를 직접 수행하도록 설계되어 있다.
보안 관점에서 Moltbot의 가장 중요한 특징은 로컬 시스템과 제3자 서비스에 대해 높은 권한으로 동작하는 경우가 많다는 점이다. 관리 인터페이스나 메시징 게이트웨이가 강력한 인증과 네트워크 통제 없이 인터넷에 노출될 경우, 공격자는 소프트웨어 취약점을 악용할 필요조차 없다. 단순한 접근 가능성 자체가 공격 벡터가 되기 때문이다.
이는 침해 모델을 ‘취약점 기반 공격’에서 ‘노출 기반 공격’으로 전환시킨다. 즉, 단순 설정 오류만으로도 악용이 가능한 상태가 되는 것이다.
공격 시나리오
Clawdbot / Moltbot 비인가 접근 시나리오
현실적인 공격 시나리오에서 공격자는 인터넷 전반 스캐닝을 통해 외부에 노출된 Moltbot 인스턴스를 식별하는 것부터 시작한다. 이 과정에서 프로젝트 특유의 응답 패턴, 서비스 배너, 웹 기반 제어 패널 등을 단서로 삼는다.
노출된 인스턴스를 확인한 뒤, 공격자는 에이전트의 인터페이스와 직접 상호작용을 시도한다. 인증이 없거나 취약하게 구현된 경우, 공격자는 에이전트에 명령이나 프롬프트를 그대로 전달할 수 있다. Moltbot은 자율적으로 동작하도록 설계되어 있기 때문에, 이러한 접근이 성공하면 다음과 같은 결과로 이어질 수 있다.
- 임의 시스템 명령 실행
- 로컬에 저장된 파일 및 설정 데이터 접근
- 에이전트가 사용하는 API 키, 토큰, 자격 증명 노출
- 연동된 제3자 서비스에 대한 비인가 접근 및 조작
클라우드 환경에 배포된 경우, 이러한 접근은 클라우드 제공자 자격 증명, 내부 운영 도구, CI/CD 파이프라인까지 확장될 수 있으며, 피해 범위는 급격히 확대된다. 단순한 실험용 AI 어시스턴트의 노출이 전체 인프라 침해로 이어질 수 있는 것이다.
Criminal IP를 통해 관측된 인터넷 노출 Moltbot자산
실제 환경에서의 노출 여부를 평가하기 위해, Moltbot의 웹 및 메시징 인터페이스 특성을 반영한 서비스 식별 쿼리를 활용해 외부에서 접근 가능한 Moltbot 인스턴스를 분석했다.
Criminal IP 검색 쿼리: title: “Clawdbot”
분석 결과, 다수의 Moltbot 인스턴스가 퍼블릭 인터넷을 통해 접근 가능한 상태로 확인되었다. 해당 인스턴스들은 네트워크 수준의 접근 제어 없이 웹 기반 인터페이스와 에이전트 제어 엔드포인트를 노출하고 있었으며, 일부 사례에서는 단순한 정적 페이지가 아닌 실제 에이전트 기능이 활성화된 응답이 관측되었다.
공개 노출된 Moltbot 인스턴스 사례
관측된 한 사례에서는 Clawdbot(Moltbot) 제어 인스턴스를 호스팅하는 외부 접근 가능 IP 주소가 동일한 노출 서비스 포트에서 여러 보안 취약점을 동시에 보였다. 해당 서비스는 HTTPS 상에서 HTTP 200 응답을 반환했으며, 인증 절차 없이 식별 가능한 Clawdbot 인터페이스 요소에 접근할 수 있었다.
또한 동일한 외부 노출 서비스 엔드포인트에서 CVE-2023-44487(HTTP/2 Rapid Reset) 취약점에 대한 영향도 함께 확인되었다. 이는 Clawdbot 자체에서 기인한 취약점은 아니지만, 고권한 제어 인터페이스가 외부에 노출된 상태에서 알려진 서비스 거부 취약점이 함께 존재함으로써 복합적인 노출 시나리오를 형성한다. 이러한 환경에서는 여러 약점이 중첩되어 비인가 접근 시 잠재적 피해가 크게 증폭될 수 있다.
보안 대응 방안
전통적인 취약점과 달리, Moltbot 노출 문제는 단일 패치나 버전 업데이트만으로 해결되지 않는다. 위험 완화는 배포 과정에서의 보안 관리 수준과 통제 체계에 달려 있다.
권장되는 대응 방안은 다음과 같다:
- Moltbot 제어 인터페이스를 외부 인터넷에 노출하지 않는다.
- 모든 인터페이스에 강력한 인증 및 접근 통제를 적용한다.
- 에이전트 실행 권한을 반드시 필요한 최소 수준으로 제한한다.
- API 키와 시크릿을 안전하게 저장하고, 평문 설정 파일 사용을 피한다.
- Moltbot은 VPN 또는 사설 네트워크 환경에서만 운영한다.
- 접근 로그와 에이전트 활동을 지속적으로 모니터링한다.
Moltbot은 자율적으로 동작할 수 있는 구조이기 때문에, 비인가 접근이 발생할 경우 공격자가 전달한 명령이 즉시 실행될 수 있다. 따라서 네트워크 격리와 접근 통제는 선택 사항이 아니라 필수 요소로 다뤄져야 한다.
FAQ
Q1. Clawdbot / Moltbot은 취약점이나 악성코드인가요?
아닙니다. Moltbot은 합법적인 오픈소스 AI 에이전트 프로젝트입니다. 다만 명령 실행과 민감 자원 접근 기능을 갖고 있기 때문에, 안전하지 않은 배포 환경에서는 심각한 보안 위험을 초래할 수 있습니다.
Q2. Moltbot이 고위험 노출로 간주되는 이유는 무엇인가요?
Moltbot은 종종 높은 권한으로 동작하며 자격 증명, 파일, 외부 서비스에 직접 접근합니다. 외부에 노출될 경우, 공격자는 별도의 소프트웨어 취약점을 악용하지 않아도 단순 접근만으로 침해를 유발할 수 있습니다.
Q3. Moltbot과 같은 AI 에이전트에도 공격 표면 관리(ASM)가 필요한가요?
그렇습니다. ASM은 원래 외부 공개를 의도하지 않았던 AI 에이전트, 실험용 도구, 내부 서비스의 의도치 않은 노출을 식별하는 데 매우 중요합니다.
결론
Clawdbot / Moltbot 사례는 자율형 AI 에이전트와 함께 등장한 새로운 보안 위험 범주를 보여준다. 이러한 시스템이 실제 환경에서 실행과 의사결정을 수행할 수 있게 되면서, 노출 자체가 취약점만큼이나 위험해지고 있다. 자율형 AI 시스템을 실험하거나 운영하는 조직과 개인은 이를 단순한 개발 도구가 아닌 실제 운영 인프라 수준으로 인식해야 한다. 외부에 노출된 자산을 식별하고, 엄격한 접근 통제를 적용하며, 자율 실행이 초래할 수 있는 현실적인 영향을 이해하는 것이 의도치 않은 침해를 방지하는 핵심 요소다.
위협 인텔리전스 관점에서 Moltbot은, 외부 노출 서비스에 대한 가시성과 아키텍처 이해를 결합할 경우 기존과는 다른 형태의 공격 표면을 조기에 식별할 수 있음을 보여주는 사례다.
관련하여 전 세계에 노출된 Redis·phpMyAdmin·Dev 등 핵심 디지털 자산: 글로벌 OSINT 분석 글을 참고할 수 있다.
Criminal IP (criminalip.io/ko/register) 에 가입하면 즉시 취약 자산 탐지를 시작할 수 있습니다. 또한 아래 버튼을 통해 데모를 요청하고, 엔터프라이즈 환경에서 외부에 노출된 자산을 대상으로 한 Criminal IP의 위협 인텔리전스(TI) 분석을 직접 확인해 보세요.
데이터 출처 : Criminal IP (https://www.criminalip.io/ko)
관련 글 : https://www.criminalip.io/ko/knowledge-hub/blog/32051