CVE-2026-25253 OpenClaw 1-Click RCE 취약점

1.  개요

- 명칭: One-Click Remote Code Execution

- 심각도: Critical (CVSS 8.8)

- 원리: UI가 쿼리 파라미터인 gatewayURL를 검증 없이 신뢰하여, 공격자의 서버로 인증 토큰을 포함한 웹소켓 연결을 자동으로 시도하는 것 이용

- 사용자가 악성 링크를 클릭하는 것만으로도 시스템 제어권이 탈취

- 교차 사이트 웹소켓 변조(CSWH) 공격

- CWE-200(Exposure of Sensitive Inforamtoin to an Unauthorized Actor)

 

2. 기술적 분석(어떻게 뚫리는가)

1. 신뢰 메커니즘 악용: 오픈클로 UI는 URL의 gatewayURL 값을 검증 없이 사용하여 웹소켓을 연결한다.
2. 토큰 탈취: 브라우저가 자동으로 사용자의 인증 토큰을 함께 보내고, 공격자는 이를 중간에서 가로챈다.
3. 샌드박스 우회: 탈취한 Admin 토큰을 이용해 에이전트의 보안 설정을 끄고, tools.exec 등과 같은 명령 실행 기능을 통해 RCE를 수행한다.
4. 로컬호스트 공격: 사용자가 localhost에서만 실행 중이더라도, 브라우저를 경유한 아웃바운드 연결이라 방화벽을 우회할 수 있다.

3. 컨설팅 관점의 위험 평가(왜 위험하지?)

- 데이터 유출: AI 에이전트와 연결된 Slack, GitHub, Cloud API 키 등 기업의 핵심 자산이 한꺼번에 유출될 수 있다.

- 공급망 공격: 공격자가 악성 'Skill'을 마켓플레이스에 배포해 대규모 감염을 유도할 수 있다. 2026년 초 기준 300개 이상의 악성 스킬이 발견되었다.

- 규제 준수 위반: 개인정보 및 기밀 데이터 노출로 인한 법적 책임을 피할 수 없다.

 

4. 대응 및 권고 사항 

- 취약한 버전인 2026.1.29 이후의 버전으로 즉시 업데이트(v2026.2.25에서 해결됨)

- 노출 가능성이 있는 모든 API 키 및 OAuth 토큰 무효화 및 재발급

- 인가되지 않은 AI 에이전트 도구의 사내 사용 금지 (네이버·카카오 사례)

- VPN 또는 SSH 터널링을 통해서만 인터페이스 접근 허용

 

5. 앞으로 더 조사하고 싶은 것

- 생산성 향상을 위한 AI 도입과 보안 통제 사이에서 어떻게 균형을 잡아야할까?

 

 

기술적 내용 참고:

 

https://www.skshieldus.com/report/eqstInsight/rt2603.html

SK쉴더스 Headline

 

https://github.com/openclaw/openclaw/security/advisories/GHSA-g8p2-7wf7-98mq

1-Click RCE via Authentication Token Exfiltration From gatewayUrl