# OpenClaw 디바이스 페어링 서브시스템의 6개 CWE-863 취약점
GitHub에서 34만 8천 개의 스타를 받은 인기 AI 에이전트인 OpenClaw의 디바이스 페어링 서브시스템에서 6주 동안 6개의 CWE-863 취약점(잘못된 권한 부여)이 발견되었습니다. 최신 취약점인 CVSS 8.6의 CVE-2026-33579는 3월 29일 2026.3.28 릴리스에서 수정되었습니다. 모든 결함은 새 디바이스를 승인할 때 승인된 주체의 권한을 검증하지 않은 데서 비롯됩니다.
디바이스 페어링 모듈은 작업을 실행하기 전에 호출자의 권한을 검증하지 않습니다. 이로 인해 추가 보호 장치 없이 권한 상승이 가능해집니다.
CVE-2026-33579와 이전 취약점 상세 정보
CVE-2026-33579에서 /pair approve 명령어가 사용자 권한 컨텍스트를 권한 검사에 전달하지 않았습니다. operator.pairing 역할을 가진 사용자가 operator.admin 권한을 요청하는 디바이스 페어링을 시작한 후 직접 승인할 수 있었습니다. 이로 인해 권한이 상승되었습니다.
이전 취약점인 CVE-2026-32922(CVSS 9.9)는 토큰 로테이션 엔드포인트를 이용해 권한 검사를 우회했습니다. 패치는 2026.3.11 버전에서 적용되었지만, 2026.3.28로 업그레이드하지 않으면 시스템이 새로운 공격에 취약한 상태로 남습니다.
프로덕션 환경에서의 문제 규모
2월 SecurityScorecard 스캔 결과에 따르면 13만 5천 개 이상의 OpenClaw 인스턴스가 공개적으로 접근 가능했으며, 그중 63%가 인증이 전혀 없었습니다. 3월 Censys 보고서에서는 6만 3천 개로 줄었지만, 여전히 대규모 공격의 주요 벡터입니다.
인증되지 않은 인스턴스에서는 모든 공격자가 페어링을 실행하고 권한 상승을 유발할 수 있습니다. 기본 보호 기능의 부재는 배포된 시스템의 위험을 높입니다.
- 노출 규모: 2월 13만 5천 개 이상의 공개 인스턴스.
- 인증 미적용 비율: 63%.
- 추이: 3월 6만 3천 개로 감소.
- 위험: 장애물 없이 디바이스 페어링에 대한 완전한 접근.
패치가 근본 문제를 해결하지 못함
6개의 패치 각각은 특정 코드 경로를 대상으로 했지만, 디바이스 페어링의 권한 부여 모델은 변경되지 않았습니다. 서브시스템에 대한 포괄적인 아키텍처 감사가 이루어진 증거가 없습니다. 연구원들은 곧 새로운 CVE가 발생할 것으로 예상합니다.
OpenClaw 개발자들은 다음을 권장합니다:
- 2026.3.28로 업데이트.
- 모든 인스턴스에 인증 활성화.
- 프로젝트 보안 피드 모니터링.
주요 교훈
- 6주 동안 OpenClaw 디바이스 페어링에서 6개의 CWE-863 취약점, 최신 CVSS 8.6.
- 근본 원인:
/pair approve및 유사 엔드포인트의 권한 검증 누락. - 인증 없는 6만 3천 개 이상의 공개 인스턴스—준비된 공격 벡터.
- 패치는 증상을 치료할 뿐; 권한 부여 아키텍처 재설계 필요.
- 프로덕션 배포를 위한 필수 업데이트 및 강화.
— Editorial Team
아직 댓글이 없습니다.