
최근 AI 에이전트 플랫폼 OpenClaw에서 1-Click 원격 코드 실행(Remote Code Execution, RCE) 취약점 CVE-2026-25253이 공개되며 보안 커뮤니티의 주목을 받고 있다.
앞서 블로그에서는 OpenClaw의 이전 프로젝트 이름인 Clawdbot(이후 Moltbot으로 변경) 사례를 통해 자율형 AI 에이전트가 인터넷에 노출될 경우 발생할 수 있는 보안 위험과 공격 시나리오를 분석한 바 있다. 해당 글에서는 관리 인터페이스 노출과 취약한 인증 구조만으로도 AI 에이전트가 공격 표면이 될 수 있음을 확인했다.
이번 글에서는 그 연장선에서, 단순 노출 문제를 넘어 실제 취약점이 등장한 사례로 OpenClaw의 CVE-2026-25253 1-Click RCE 취약점을 살펴본다. 특히 사용자가 조작된 링크를 클릭하거나 웹 페이지를 방문하는 것만으로 공격이 성립할 수 있는 구조가 알려지면서, AI agent platform security와 AI agent attack surface 관리의 중요성이 현실적인 보안 이슈로 확대되고 있음을 보여준다.
CVE-2026-25253 취약점 개요
| 항목 | 내용 |
|---|---|
| 취약점 ID | CVE-2026-25253 |
| 영향 제품 | OpenClaw |
| 취약점 유형 | Remote Code Execution (RCE) |
| 핵심 영향 | 인증 토큰 탈취 후 에이전트 제어 가능성 |
CVE-2026-25253은 OpenClaw Control 인터페이스에서 외부 입력을 통해 연결 설정 흐름을 악용할 수 있는 구조와 관련된 취약점으로 알려졌다. 공격자는 조작된 URL을 통해 사용자의 접근을 유도할 수 있으며, 이 과정에서 인증 토큰이 공격자 측으로 전달될 가능성이 제기되었다.
해당 취약점은 2026년 2월 1일 Depthfirst에 의해 공개되었지만, OpenClaw 측에서는 그 이전인 2026년 1월 29일 릴리스된 버전 2026.1.29에서 패치가 적용되었다고 언급되었다.
공격 메커니즘 및 시나리오

CVE-2026-25253과 같은 취약점에서는 비교적 단순한 흐름으로 공격이 성립할 수 있다. 공격자는 gatewayUrl 파라미터가 포함된 조작된 URL을 생성한 뒤 피싱 이메일이나 웹 페이지 등을 통해 사용자가 해당 링크를 클릭하도록 유도한다. 사용자가 링크에 접근하면 OpenClaw Control UI가 공격자가 지정한 서버로 WebSocket 연결을 시도하는 과정에서 인증 토큰이 외부로 전달될 수 있으며, 공격자는 이를 이용해 해당 OpenClaw 인스턴스 접근을 시도할 수 있다.
만약 접근이 성공할 경우 공격자는 에이전트 권한 범위 내에서 명령 실행, 파일 접근, 외부 API 호출 등의 기능을 악용해 추가 공격을 수행할 가능성이 있다.
Criminal IP를 통해 관측한 OpenClaw 노출 자산 현황
취약점 대응에서 중요한 요소는 취약점 자체뿐 아니라 외부에서 접근 가능한 서비스 인프라 규모다. OpenClaw와 같은 AI 에이전트 플랫폼은 개발 환경이나 테스트 환경에서 빠르게 배포되는 경우가 많기 때문에, 일부 인스턴스가 인터넷에 그대로 노출되는 사례가 발생할 수 있다.
이를 확인하기 위해 Criminal IP Asset Search에서 favicon 기반 서비스 식별 검색을 수행했다.
Search Query: favicon: -53f5ed23

분석 결과 2026년 3월 9일 기준 약 5,600건 이상의 OpenClaw Control 인터페이스로 추정되는 자산이 식별되었다.
관측된 자산 중 상당수는 HTTPS(443) 포트를 통해 외부에서 직접 접근 가능한 형태로 노출되어 있었으며, nginx 또는 Apache와 같은 일반 웹 서버 환경 위에서 관리 인터페이스가 운영되는 사례가 확인되었다. 또한 다수 인스턴스에서 Let’s Encrypt 기반 SSL 인증서를 사용하고 있어 비교적 간단한 구성 환경에서 OpenClaw 서비스가 공개된 상태로 운영되는 경우가 존재함을 보여준다.

국가 분포 분석에서는 미국을 중심으로 여러 국가에서 OpenClaw 인터페이스가 노출된 환경이 확인되었다. 이러한 환경에서는 공격자가 먼저 관리 인터페이스 응답 여부를 확인한 뒤 서비스 배너나 정적 리소스를 통해 버전을 추정하고 취약 버전 또는 관리 인터페이스 노출 환경을 우선적으로 탐색할 가능성이 있다.
특히 AI 에이전트의 관리 인터페이스는 일반 웹 서비스보다 높은 권한을 가지는 경우가 많기 때문에, 취약점이 존재하거나 인증 통제가 충분하지 않을 경우 공격 영향 범위가 크게 확대될 수 있다.

Criminal IP Asset Search에서 확인된 한 자산의 상세 리포트에서는 TCP 443 포트에서 OpenClaw Control 인터페이스가 HTTPS 서비스로 동작하는 환경이 확인되었다. 해당 서비스는 Apache 2.4.52 (Ubuntu) 웹 서버 기반으로 운영되고 있으며 외부 요청에 대해 HTTP 200 응답을 반환하는 상태로 관리 인터페이스가 접근 가능한 환경이었다.
응답 헤더 분석에서는 서버 정보와 함께 일반적인 웹 보안 헤더가 확인되었으며 서버 배너에 Apache 버전 정보가 노출된 상태도 관측되었다. 이러한 환경에서는 서비스 구성 정보가 외부에 노출될 수 있으며 관리 인터페이스가 직접 접근 가능한 상태일 경우 공격 표면이 확대될 가능성이 존재한다.
대응 및 권고 사항
OpenClaw 취약점 대응에서는 패치 적용과 함께 노출 환경 점검이 병행되어야 한다.
- 취약점 패치가 포함된 최신 버전으로 업데이트
- OpenClaw Control 인터페이스 외부 접근 제한
- 개발·테스트 환경의 공개 노출 여부 점검
- Criminal IP Asset Search 등 외부 자산 탐지 도구를 활용한 지속적 노출 점검
FAQ
Q1. OpenClaw 1-Click RCE 취약점은 무엇인가요?
CVE-2026-25253은 OpenClaw Control 인터페이스의 연결 설정 흐름을 악용해 인증 토큰 탈취 가능성이 제기된 취약점입니다. 공격자는 조작된 URL을 통해 사용자의 접근을 유도하고 이를 이용해 OpenClaw 인스턴스 접근을 시도할 수 있습니다.
Q2. AI 에이전트 플랫폼이 공격 표면이 되는 이유는 무엇인가요?
AI 에이전트는 시스템 명령 실행, 파일 접근, 외부 API 호출 등 높은 권한 기능을 수행합니다. 이러한 구조에서는 취약점이 발생할 경우 단일 애플리케이션이 아닌 에이전트가 연결된 전체 서비스 환경이 공격 대상이 될 수 있습니다.
Q3. favicon 검색으로 서비스 식별이 가능한 이유는 무엇인가요?
웹 서비스는 고유한 favicon 아이콘을 사용하는 경우가 많습니다. 해당 아이콘의 해시 값을 기준으로 검색하면 동일한 인터페이스를 사용하는 서비스 인스턴스를 인터넷에서 식별할 수 있습니다.
결론
OpenClaw 사례는 AI agent security와 AI agent platform security 관점에서 AI agent attack surface가 새로운 공격 벡터로 등장하고 있음을 보여주는 사례다. AI 기반 자동화 시스템이 빠르게 확산되는 환경에서 에이전트 서비스 역시 기존 IT 인프라와 동일하게 외부 노출 관리와 취약점 대응이 함께 고려되어야 하는 운영 인프라로 볼 수 있다.
관련하여 Clawdbot / Moltbot: 자율형 AI 에이전트 노출 위험에 대한 보안 분석 글을 참고할 수 있다.
본 리포트는 AI 기반 사이버 위협 인텔리전스 검색엔진 Criminal IP의 데이터를 바탕으로 작성되었다.
지금 바로 Criminal IP 무료 계정을 생성하면 리포트에 인용된 검색 결과를 직접 확인하거나, 더 방대한 위협 인텔리전스를 검색할 수 있다.
데이터 출처: Criminal IP (https://www.criminalip.io/ko), Security Week (https://www.securityweek.com/openclaw-security-issues-continue-as-secureclaw-open-source-tool-debuts/)
