2026년 2월 3일, CVE-2026-25253이 공식 공개되었다. 취약점은 1월 30일 출시된 OpenClaw 버전 2026.1.29에서 조용히 패치되었지만, 공개 시점에 Shodan 스캔은 이미 42,000개 이상의 노출된 OpenClaw 인스턴스를 발견한 상태였다. 63%가 패치되지 않은 버전이었다.
공격 체인
OpenClaw의 Control UI가 URL 파라미터에서 게이트웨이 URL을 읽고 Origin 검증 없이 자동 접속하는 것을 악용. 공격자가 악성 웹페이지를 만들고, 피해자에게 링크를 보내면, 브라우저가 WebSocket으로 OpenClaw에 접속해 인증 토큰을 탈취. 토큰으로 완전한 관리자 접근——임의 명령 실행, 파일 읽기/쓰기, 환경 변수의 API 키 접근, 영구 백도어 설치.
클릭에서 침해까지 밀리초 단위. 피해자는 이상을 알아차리지 못한다.
왜 이 취약점이 존재했는가
Cross-Site WebSocket Hijacking은 2012년부터 알려진 취약점 클래스다. 수정은 간단——WebSocket의 Origin 헤더 검증. 그러나 OpenClaw의 플러그인 에코시스템이 이 관대한 모델에 의존했다. "플러그인 API의 호환성을 깨는 변경이 필요"해서 보안 수정을 미뤘다. 보안이 하위 호환성과 교환되었고, 그 거래는 잘못되었다.
노출 문제
OpenClaw의 기본 설정이 게이트웨이를 0.0.0.0에 바인드——퍼블릭 인터페이스 포함. 42,000+ 인스턴스가 인터넷에 노출. SecurityScorecard STRIKE 팀이 82개국에서 매핑.
아키텍처 교훈
"취약점이 있다"와 "근본적으로 안전하지 않다"의 차이가 중요하다. 적절한 샌드박싱과 최소 권한을 가진 시스템의 취약점은 패치되는 문제다. 샌드박스 없이 풀 OS 권한의 시스템 취약점은 침해다.
ZeroClaw는 다른 트레이드오프를 한다: deny-by-default 허용 목록, Rust 메모리 안전성, 게이트웨이 페어링, 플러그인 마켓플레이스 부재. 무적은 아니지만 폭발 반경을 제한한다. 아키텍처로서의 보안 vs 패치로서의 보안——이것이 CVE-2026-25253이 AI 에이전트 커뮤니티에 가르친 것이다.