Transformer 논문 저자, 랍스터 재창조… OpenClaw의 보안 취약점으로부터 탈출
TechFlow 선정TechFlow 추천
Transformer 논문 저자, 랍스터 재창조… OpenClaw의 보안 취약점으로부터 탈출
Transformer의 창시자 일리아 폴로수킨(Illia Polosukhin)이 Rust로 OpenClaw를 재작성하여 보안 강화형 AI 에이전트 프레임워크인 IronClaw를 출시했다. 이 프레임워크는 아키텍처 차원에서 자격 증명 유출 취약점을 해결한다.
Web3 심층 보도에 집중하고 흐름을 통찰출처 | 양자위
인터넷 상에서 벌거벗은 상태로 노출된 ‘랍스터(Lobster)’는 과연 몇 마리나 될까?
AI 에이전트가 귀하의 비밀번호와 API 키를 전 세계에 그대로 노출시키고 있다.
Transformer 아키텍처의 공동 저자인 일리아 폴로수킨(Illia Polosukhin)이 이를 더 이상 방치할 수 없어, 완전히 새로 설계한 보안 강화형 랍스터 ‘아이언클로(IronClaw)’를 출시했다.
아이언클로는 현재 GitHub에서 오픈소스로 공개되었으며, macOS, Linux, Windows용 설치 패키지를 제공한다. 로컬 배포뿐 아니라 클라우드 기반 호스팅도 지원한다. 프로젝트는 여전히 급속히 반복 개발 중이며, v0.15.0 버전의 바이너리 파일을 이미 다운로드할 수 있다.
폴로수킨(이하 ‘파인애플 형’)은 Reddit 포럼에도 관련 스레드를 개설해 모든 질문에 직접 답변하고 있으며, 이에 대한 관심이 매우 높다.
01 오픈클로(OpenClaw)는 인기를 끌었지만, 동시에 ‘불타올랐다’
파인애플 형 본인 역시 오픈클로의 초기 사용자였으며, 이를 “기다린 지 20년 만에 등장한 기술”이라 평가했다.
이 기술은 제가 컴퓨팅과 상호작용하는 방식 자체를 바꿔놓았다.
그러나 오픈클로의 보안 상태는 재앙 수준이었다. 원클릭 원격 코드 실행(RCE), 프롬프트 주입 공격, 악성 스킬을 통한 비밀번호 탈취 등 다양한 취약점들이 오픈클로 생태계 내에서 차례로 드러났다.
충분한 보안 조치 없이 인터넷에 노출된 공개 인스턴스가 2만 5천 개를 넘었으며, 보안 전문가들은 이를 직설적으로 ‘보안 쓰레기 화재(security dumpster fire)’라고 명명했다.
문제의 근본 원인은 아키텍처 자체에 있다.
사용자가 자신의 이메일 Bearer 토큰을 오픈클로에 제공하면, 해당 토큰은 바로 LLM 공급업체의 서버로 전송된다.
파인애플 형은 Reddit에서 이것이 의미하는 바를 다음과 같이 설명했다:
귀하의 모든 정보—심지어 명시적으로 권한을 부여하지 않은 데이터조차—해당 기업의 임직원 누구라도 접근할 수 있다. 이는 귀하의 고용주 데이터에도 동일하게 적용된다. 이들 기업이 악의를 품고 있는 것이 아니라는 점을 분명히 밝히지만, 현실은 사용자가 진정한 프라이버시를 확보하지 못한다는 것이다.
그는 “그 어떤 편의성도 자신과 가족의 안전 및 프라이버시를 위험에 빠뜨리는 대가로 치를 가치가 없다”고 강조했다.
02 러스트(Rust)로 모든 것을 처음부터 다시 구축
아이언클로는 오픈클로를 Rust 언어로 완전히 재구현한 제품이다.
Rust의 메모리 안전성 특성은 버퍼 오버플로우와 같은 전통적 취약점을 근본적으로 제거해, 개인 키 및 사용자 자격 증명을 처리해야 하는 시스템에 필수적이다.
보안 아키텍처 측면에서 아이언클로는 4단계 심층 방어 체계를 구축했다.
첫 번째 계층은 Rust 자체가 제공하는 메모리 안전성 보장이다.
두 번째 계층은 WASM 샌드박스 격리로, 모든 타사 도구 및 AI가 생성한 코드는 독립적인 WebAssembly 컨테이너 내에서 실행된다. 따라서 악성 도구라 하더라도 그 피해 범위는 샌드박스 내부로 엄격히 제한된다.
세 번째 계층은 암호화 자격 증명 보관소로, 모든 API 키와 비밀번호는 AES-256-GCM으로 암호화되어 저장되며, 각 자격 증명은 특정 도메인에서만 사용 가능하도록 정책 규칙과 결합된다.
네 번째 계층은 신뢰 실행 환경(Trusted Execution Environment, TEE)으로, 하드웨어 수준의 격리를 활용해 데이터를 보호하며, 클라우드 서비스 제공자조차 사용자의 민감 정보에 접근할 수 없다.
이 설계에서 가장 핵심적인 점은 대규모 언어 모델(Large Language Model) 자체가 절대 원시 자격 증명에 접근하지 못한다는 것이다.
에이전트가 외부 서비스와 통신할 때만, 네트워크 경계에서 자격 증명이 주입된다.
파인애플 형은 예시를 들어 설명했다: 대규모 언어 모델이 프롬프트 주입 공격을 통해 사용자의 Google OAuth 토큰을 공격자에게 전송하려 해도, 자격 증명 저장 계층은 해당 요청을 즉시 거부하고, 로그를 기록하며 사용자에게 경고 알림을 보낸다.
그럼에도 불구하고 개발자 커뮤니티는 여전히 불안해한다. 오픈클로는 공개 인스턴스 2,000개 이상이 공격을 받았고, 악성 스킬도 다수 존재했기 때문이다. 아이언클로가 인기를 끌게 되면 같은 실수를 반복하게 될까?
이에 대해 파인애플 형은, 아이언클로의 아키텍처 설계가 이미 오픈클로의 핵심 취약점을 근본적으로 차단했다고 답했다. 자격 증명은 항상 암호화된 상태로 저장되며, 절대 LLM과 접촉하지 않으며, 타사 스킬은 호스트 시스템에서 스크립트를 실행할 수 없고, 반드시 컨테이너 내부에서만 작동한다.
CLI를 통해 접근하더라도, 사용자의 시스템 키체인(Keychain)을 통해 복호화해야 하며, 단순히 획득한 암호화된 키 자체는 아무런 의미가 없다.
또한 그는 핵심 버전이 안정화됨에 따라, 향후 레드팀 테스트(Red Team Testing) 및 전문 보안 감사를 계획 중이라고 밝혔다.
업계에서 널리 알려진 난제인 프롬프트 주입 문제에 대해서는, 파인애플 형이 보다 구체적인 해결 방향을 제시했다.
현재 아이언클로는 휴리스틱 규칙 기반의 패턴 탐지 방식을 사용하고 있으나, 향후 목표는 주입 패턴을 식별하기 위한 지속적으로 업데이트 가능한 소형 언어 분류기(Language Classifier)를 배포하는 것이다.
다만 그는 프롬프트 주입이 단순히 자격 증명을 탈취하는 것을 넘어, 사용자의 코드베이스를 직접 조작하거나, 통신 도구를 통해 악성 메시지를 전송하는 등 보다 광범위한 위협이 될 수 있음을 인정했다.
이러한 공격에 대응하기 위해서는 입력 내용을 확인하지 않고도 에이전트의 행동 의도를 검토할 수 있는 보다 지능적인 전략 시스템이 필요하다고 말하며, “아직 더 많은 작업이 남아 있으며, 커뮤니티의 기여를 환영한다”고 덧붙였다.
로컬 배포와 클라우드 배포 중 어느 쪽을 선택해야 할지에 대한 질문도 있었다.
파인애플 형은 순수 로컬 방식에는 명백한 한계가 있다고 판단했다. 기기가 종료되면 에이전트가 작동을 멈추고, 모바일 기기의 에너지 소비는 감당하기 어려우며, 복잡하고 장시간 소요되는 작업도 수행할 수 없다.
따라서 그는 ‘기밀 클라우드(confidential cloud)’가 현재 최적의 타협안이라고 주장했다. 이 방식은 로컬 기기 수준에 가까운 프라이버시 보장을 제공하면서도 ‘항상 온라인 상태’를 유지할 수 있는 문제를 해결한다.
그는 또 하나의 세부 사항을 언급했는데, 사용자가 국외 여행 시 자동으로 추가 보안 장벽을 활성화하여 무단 접근을 방지할 수 있도록 정책을 설정할 수 있다는 것이다.
03 더 큰 야망
파인애플 형은 일반적인 오픈소스 개발자가 아니다.
2017년, 그는 ‘Attention Is All You Need’ 논문의 8명 공동 저자 중 한 명으로, 여기서 제안된 Transformer 아키텍처는 오늘날 모든 대규모 언어 모델의 기반이 되었다.
논문에서 그의 이름은 맨 마지막에 위치해 있지만, 각주에는 ‘Equal contribution. Listing order is random.’(공동 기여. 순서는 무작위)라고 명시되어 있어, 순서는 단순한 무작위 배치일 뿐이다.
같은 해, 그는 구글을 떠나 NEAR 프로토콜(NEAR Protocol)을 창립해 AI와 블록체인 기술의 융합을 추진했다.
아이언클로는 NEAR 프로토콜의 보다 거대한 전략적 비전—‘사용자 소유 AI(User-Owned AI)’—의 일환으로 개발된 것이다.
이 비전에서는 사용자가 자신의 데이터와 자산을 완전히 통제하며, AI 에이전트는 신뢰할 수 있는 환경에서 사용자를 대신해 작업을 수행한다.
NEAR는 이미 이 목표를 위해 AI 클라우드 플랫폼과 탈중앙화 GPU 시장 등 인프라를 구축했으며, 아이언클로는 이러한 전체 체계의 런타임 계층(Runtime Layer)에 해당한다.
파인애플 형은 나아가 에이전트 간 상호 고용 시장까지 개발했다.
NEAR의 market.near.ai에서 사용자는 전문성을 갖춘 자신의 에이전트를 등록할 수 있으며, 에이전트가 평판을 쌓음에 따라 더 높은 가치를 지닌 작업을 수행하게 된다.
그에게 ‘일반인이 향후 5년간 AI 시대에 어떻게 적응해야 하는가?’라는 질문이 제기됐을 때, 그는 “즉시 AI 에이전트 기반의 업무 방식을 채택하고, 전체 작업 프로세스를 자동화해 에이전트에게 위임하는 법을 익혀야 한다”고 조언했다.
이러한 관점은 최근 들어 갑작스럽게 형성된 것이 아니다.
2017년 NEAR AI를 설립할 당시, 파인애플 형은 이미 “앞으로 당신은 컴퓨터와 대화만 하면 되고, 더 이상 코드를 작성할 필요가 없다”고 모두에게 말했다.
당시 사람들은 그들이 미쳤다고 생각했고, 허풍이라고 치부했다.
9년이 지난 지금, 이 말은 현실이 되고 있다.
“AI 에이전트는 인간이 온라인 세상과 상호작용하는 궁극의 인터페이스다.” 폴로수킨은 이렇게 썼다. “하지만 이번엔 그것을 안전하게 만들어야 한다.”
---
GitHub 주소:
https://github.com/nearai/ironclaw
참고 링크:
[1] https://www.reddit.com/r/MachineLearning/comments/1rlnwsk/d_ama_secure_version_of_openclaw/
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News
