OpenClaw 생태계는 이번 주 가장 기대되던 기능 — v2026.6.1-beta.1Skill Workshop 통제된 스킬 생성 흐름 — 을 출시했지만, 보안 이야기가 대화를 지배했습니다. 연구자들은 공급망 교두보를 완전한 에이전트 침해로 연결하는 **4개 취약점 “Claw Chain”**을 공개했고, OpenClaw 비밀을 표적으로 한 최초로 확인된 인포스틸러 맬웨어가 야생에서 문서화되었으며, 싱가포르 사이버 보안 기관이 조직에 프로덕션 배포에 신중하게 접근할 것을 촉구하는 공식 자문을 발표했습니다.

자체 호스팅 AI 에이전트를 평가하는 IT 및 보안 리더에게 이번 주는 핵심 긴장을 명확히 보여줍니다: 플랫폼은 빠르게 성숙하고 있지만 보안 거버넌스 모델은 그 보조를 맞추지 못했습니다. 전체 경영진 브리핑을 전합니다.

시간이 부족하신가요? 핵심 결론: (1) Skill Workshop은 OpenClaw에 통제된 스킬 생성을 가져옵니다 — 엔터프라이즈 확장성의 중요한 진전, (2) “Claw Chain” 취약점 공개는 플랫폼의 야망과 현재 보안 태세 사이의 격차를 드러냅니다, (3) OpenClaw 설정을 표적으로 한 최초의 야생 인포스틸러는 디스크에 비밀을 저장하는 모든 이에게 경고, (4) Microsoft의 ClawPilot이 이제 3,000명 이상의 내부 사용자를 보유해 진지한 엔터프라이즈 관심을 시사합니다. 배포를 계획 중이라면 주시할 항목으로 넘기거나 상담 전화 예약을 하세요.

Skill Workshop: 개방형 스킬 모델을 위한 거버넌스

이번 주 착지한 가장 큰 기능은 Skill Workshop — 이전 임시 방식을 대체하는 구조화되고 에이전트가 안내하는 스킬 생성 및 검토 흐름입니다.

v2026.6.1-beta.1(98+ 커밋 사전 릴리스)에서 이제 에이전트는 버전이 지정된 프론트매터, 승인/거부/검역 조치, 롤백 안전장치, 제안 목록, 오늘 보기, 수정 대화 상자, 파일 미리 보기를 갖춘 완전한 Control UI 대시보드가 있는 통제된 파이프라인을 통해 스킬을 제안합니다. 스킬 워크숍 도구(skill_workshop)는 Codex 앱 서버 프롬프트와 통합되어 에이전트가 언제 사용해야 할지 알며, 중앙화된 코어 스킬 인덱스가 로딩, 상태, 필터링, 프롬프트 서식을 처리합니다.

엔터프라이즈 팀에 중요한 이유. 개방형 스킬 모델은 OpenClaw의 가장 큰 강점이자 가장 큰 위험이었습니다. Skill Workshop은 그 방정식의 “검증” 측면을 다룹니다 — 에이전트나 사용자가 타사 스킬을 설치하기 전에 운영자에게 구조화된 검토 흐름을 제공합니다. 하지만 런타임 격리나 신뢰 점수 문제는 해결하지 않습니다. NVIDIA의 Skill Cards(설치 시 정적 및 의미론적 스킬 분석)가 같은 릴리스 주기에 등장해 다층 보안 접근을 암시합니다. 프로덕션 배포의 경우 Skill Workshop은 필요하지만 충분하지 않습니다 — 조직은 여전히 그 위에 식별, 샌드박싱, 감사 제어를 쌓아야 합니다. 플랫폼이 향하는 방향에 대한 더 넓은 시각은 State of OpenClaw 2026 분석을 참조하세요.

더 보기: Skill Workshop 문서

“Claw Chain” — 4개의 연쇄 취약점

Cyera 연구자는 현재까지 문서화된 가장 위험한 OpenClaw 공격 체인을 함께 구성하는 4개의 연쇄 가능 취약점을 공개했습니다. 4개 모두 **v2026.4.22+**에 패치되었지만 노출은 놀랍습니다: Shodan은 약 65,000개의 공개 접근 가능 OpenClaw 인스턴스를 식별했고, ZoomEye는 약 180,000개를 식별했습니다.

체인은 이렇게 작동합니다: OpenShell 내부의 단일 교두보(프롬프트 인젝션, 악성 플러그인 또는 침해된 입력을 통해)가 세 가지 샌드박스 계층 취약점의 동시 익스플로잇을 가능하게 합니다 — 파일 시스템 읽기 탈출을 통한 데이터 유출(CVE-2026-44113, CVSS 7.7), MCP 루프백 헤더 우회를 통한 권한 상승(CVE-2026-44118, CVSS 7.8), TOCTOU 파일 시스템 쓰기 탈출을 통한 지속성(CVE-2026-44112, CVSS 9.6 Critical). 별도의 실행 허용 목록 환경 변수 공개(CVE-2026-44115, CVSS 8.8)는 따옴표 없는 heredoc을 통해 API 키를 유출할 수 있습니다.

중요한 이유. 이론적 공격이 아닙니다. 이 체인은 임의 코드 실행이 필요 없으며 — 모든 OpenClaw 에이전트가 기본적으로 사용하는 파일 작업과 MCP 프로토콜을 통해 작동합니다. 공개 엔드포인트로 패치되지 않은 인스턴스를 실행 중인 조직은 이를 즉시 패치 경고로 취급해야 합니다.

출처: Cyera Research, TNW, Cloud Security Alliance

OpenClaw 비밀을 표적으로 한 최초로 확인된 인포스틸러

Hudson Rock은 OpenClaw 구성 파일을 구체적으로 표적으로 하는 최초의 야생 인포스틸러 감염을 문서화했습니다. Vidar 인포스틸러 변종(감염일: 2026년 2월 13일)이 다음을 외부로 유출했습니다:

  • openclaw.json — 게이트웨이 인증 토큰, 이메일, 작업공간 경로
  • device.json — 디바이스 페어링 및 서명에 사용되는 공개 및 개인 키로, 메시지 가장을 가능케 함
  • soul.mdmemory/*.md — 에이전트 동작 정의, 일일 활동 로그, 개인 메시지, 캘린더 이벤트

Hudson Rock은 훔친 데이터가 피해자의 디지털 신원 완전 침해에 충분하다고 결론지었습니다. 이 맬웨어는 OpenClaw를 특별히 표적으로 한 것이 아니라 — “token"과 “private key” 키워드가 포함된 파일을 스윕했습니다 — 하지만 OpenClaw 사용자에 대한 영향은 심각합니다.

중요한 이유. 이는 OpenClaw 커뮤니티가 더 이상 비밀 저장을 “디스크에 두면 충분"으로 취급할 수 없는 순간입니다. 에이전트 신원과 메모리를 구동하는 동일한 파일이 이제 능동적 표적입니다. 조직은 OpenClaw 비밀을 볼트 지원 저장(Azure Key Vault, HashiCorp Vault 또는 Windows Credential Manager)으로 이동하고 device.json을 SSH 개인 키와 동등하게 취급해야 합니다 — 암호화 없이는 디스크에 두지 마세요.

출처: BleepingComputer, Hudson Rock

싱가포르 CSA 자문 — 프로덕션 위험에 대한 공식 경고

싱가포르 **사이버 보안 기관(CSA)**은 자문 AD-2026-005를 발표하여 OpenClaw의 체계적 위험을 공식적으로 문서화했습니다: 패치되지 않은 취약점, 약한 접근 제어, 민감한 데이터 노출, 악성 타사 스킬, 메모리 포이즈닝. 이 자문은 조직에 제로 트러스트 원칙을 적용하고 미션 크리티컬 또는 고도로 민감한 환경에서 오픈소스 형태의 OpenClaw 배포를 피할 것을 권고합니다.

이는 2026년 내내 발표된 중국, 한국, 벨기에의 정부 경고 및 제한과 합류합니다. 패턴은 일관됩니다: 규제 기관이 자율 에이전트 프레임워크를 주시하고 있으며, OpenClaw의 개방형 스킬 모델이 특별한 조사를 끌어들입니다.

중요한 이유. 정부 자문은 금지가 아닙니다 — 하지만 컴플라이언스 대화를 이동시킵니다. 싱가포르의 규제 영역에 포함되거나 유사한 지침이 있는 관할권에서 운영하는 조직은 OpenClaw 배포가 오픈소스 프로젝트가 제공하는 것 이상의 다층 보안 제어를 포함한다는 점을 입증해야 합니다. 이것이 강화된 엔터프라이즈 배포가 닫기 위해 설계된 정확한 격차입니다.

출처: CSA 자문 AD-2026-005

Microsoft ClawPilot, 3,000명 이상의 내부 사용자 달성

Microsoft의 내부 OpenClaw 기반 데스크톱 어시스턴트 ClawPilot(“Project Lobster” 아래)가 5월 초 대략 100명의 내부 테스터에서 3,000명 이상의 사용자로 확장되었습니다. Corporate Vice President Omar Shahine이 주도하는 ClawPilot은 사용자 신호를 모니터링하고, 받은편지함을 분류하며, 실행 항목을 후속 조치하는 항상 켜진 에이전트 팀을 제공합니다. OpenClaw에 구축된 Teams 플러그인이 이미 내부적으로 사용 가능하며, Microsoft는 Microsoft 365 Copilot을 위한 더 안전하고 엔터프라이즈급의 OpenClaw 유사 기능을 실험 중이며 Build 무렵 출시 예정입니다.

중요한 이유. Microsoft의 자체 내부 채택은 Microsoft 중심 환경 — Big Hat Group이 전문으로 하는 동일한 환경 — 을 위한 아키텍처를 검증합니다. ClawPilot이 약 일주일 만에 100명에서 3,000명으로 빠르게 확장된 것은 Microsoft가 OpenClaw 에이전트 모델에서 실제 생산성 가치를 본다는 신호입니다. Microsoft 365 기반 엔터프라이즈의 경우 이는 “엔터프라이즈 준비가 되었나?“라는 위험을 줄여줍니다: Microsoft가 자체 인력을 위해 OpenClaw를 신뢰한다면, 질문은 “사용해야 할까?“가 아닌 “어떻게 강화할까?“가 됩니다. Microsoft 중심 IT 팀을 위한 ClawPilot 심층 분석 전문을 읽어보세요.

출처: GeekWire, Cloud Wars

ASRock Claw Quickset — 원클릭 Windows 설치 프로그램

ASRock이 ASRock Claw 핸드헬드와 기타 Windows PC에서 OpenClaw 설치를 자동화하는 원클릭 Windows 애플리케이션 Claw Quickset을 발표했습니다. 로컬 모델과 클라우드 모델 설정, 런타임 관리, 작업공간 구성을 위한 GUI 마법사를 제공합니다 — 수동 터미널 명령이 필요 없습니다.

중요한 이유. 이것이 Windows에서 OpenClaw을 위한 첫 번째 소비자 친화적 설치 프로그램입니다. ASRock의 대상 시장은 핸드헬드 게임 PC 사용자지만, 동일한 설치 패턴은 Windows 365 Cloud PCAzure Virtual Desktop에 직접 적용 가능합니다 — IT가 사용자에게 CLI 설정을 요구하지 않고 OpenClaw을 배포해야 하는 환경입니다. 엔터프라이즈 배포 도구가 이 패턴을 따를 것으로 기대하세요.

출처: ASRock

업스트림 강화 및 기타 릴리스

Skill Workshop 외에도 릴리스 기차는 의미 있는 보안 강화를 제공했습니다:

  • Windows ComSpec 하이재킹 수정(#77472) — 프로세스 래퍼가 이제 공유 해석기를 통해 라우팅되며 UNC 경로와 세미콜론으로 구분된 경로 목록을 거부합니다.
  • 플러그인 진단 신뢰(#77516) — 번들 또는 @openclaw/diagnostics-* 패키지만 내부 진단 기능을 받습니다.
  • fs-safe 라이브러리 — 안전한 경로 해석과 심볼릭 링크 공격 방지를 위한 새로운 파일 시스템 강화 라이브러리(GitHub).
  • 게이트웨이 구성 fail-closed — v2026.6.1-beta.1의 호환성 깨는 변경으로, 잘못된 구성이 게이트웨이를 마지막 양호 상태에서 자동 복원하는 대신 완전히 중지시킵니다. openclaw doctor --fix로 복구하세요.
  • v2026.5.3-1의 성능 DoS(#77519) — 1500배의 sessions.list 회귀로 인해 운영자는 이 버전을 완전히 피해야 합니다.

안정 릴리스 v2026.5.28이 Claude Opus 4.8 지원, 네이티브 iPad 레이아웃을 갖춘 iOS Pro UI, Copilot 및 Codex 런타임을 위한 Supervisor 플러그인, 암호화된 PDF 렌더링과 함께 출시되었습니다.

EnterpriseClaw와 거버넌스 생태계

CIO.com이 정책 강제, 감사 추적, 컴플라이언스 제어를 통해 방화벽 내 에이전트 관리를 가능하게 하는 상용 거버넌스 계층 EnterpriseClaw를 다뤘습니다. 별도로 AxonFlow가 OpenClaw 도구 호출과 아웃바운드 메시지를 위한 구조화된 정책 강제 — 에이전트 워크플로를 위한 거버넌스-as-code — 를 출시했습니다.

이들 타사 거버넌스 제품은 OpenClaw을 “독립적이고 커뮤니티 주도이며 영원히 개방"으로 유지하는 것을 보장한다고 자리매김한 OpenClaw Foundation(openclaw.org)과 함께 등장하고 있습니다. Foundation 참가자에는 GitHub Secure Open Source Fund를 통해 Microsoft, GitHub, Atlassian, Convex, OpenAI가 포함됩니다.

중요한 이유. 거버넌스 생태계가 핵심 프로젝트와 병렬로 형성되고 있습니다 — 업스트림 프로젝트가 우선순위를 둘 수 없는 보안 및 컴플라이언스 격차를 채우는 상용 계층. 엔터프라이즈 구매자에게 이는 건전한 신호입니다: “강화된 OpenClaw” 대화가 “누가 이것을 구축해야 할까?“에서 “어느 공급업체의 거버넌스 계층이 우리 스택에 맞을까?“로 진화하고 있습니다.

출처: CIO.com, AxonFlow

주시할 항목

  • 안정 버전의 Skill Workshop. 통제된 스킬 생성 흐름이 이번 주 베타에 착지합니다. 안정 릴리스 타임라인이 CSA가 지적한 스킬 신뢰 모델을 의미 있게 개선할지 결정할 것입니다.
  • Microsoft Build 2026. M365 Copilot의 에이전트 기능 — Build 무렵 예상 — 은 OpenClaw 아키텍처를 검증하거나 직접 경쟁할 수 있습니다. ClawPilot의 3,000명 사용자 내부 테스트는 강력한 선행 지표입니다.
  • Claw Chain 패치 채택. 65,000~180,000개의 노출된 인스턴스와 공개적으로 문서화된 완전한 공격 체인으로 인해 패치 속도가 OpenClaw 업데이트 생태계의 주요 시험이 될 것입니다.
  • 인포스틸러 대응 조치. Vidar 사례는 많은 사례의 첫 번째일 가능성이 높습니다. 자격 증명 볼팅 개선, 디스크 암호화 구성, 런타임 비밀 스캐닝이 필수 기능으로 등장할 것으로 예상하세요.
  • 게이트웨이 구성 fail-closed. v2026.6.1-beta.1의 호환성 깨는 변경은 자동 복구에 의존하는 운영자를 잡을 것입니다. 업데이트 적용 전에 doctor --fix를 숙지하세요.

OpenClaw 생태계 동향에 대한 다음 주 라운드업을 다시 확인하세요. 조직이 Windows 365, Azure 또는 Microsoft 생태계 어디에서든 프로덕션을 위해 OpenClaw을 평가 중이라면 연락하세요. Big Hat Group은 Entra ID 식별, 서명된 스킬, Intune 컴플라이언스, Azure 네이티브 아키텍처를 갖춘 강화된 OpenClaw 배포를 제공합니다.