OpenClaw 에이전트 스킬 레지스트리에서 실제 인포스틸러 맬웨어가 유통되고 있었음

• 1Password 보안 연구원이 OpenClaw 에이전트 생태계의 스킬 레지스트리(ClawHub)에서 실제 macOS 인포스틸링 맬웨어를 발견함. "발견할 수도 있다"가 아니라 이미 유통되고 있었다는 거임

에이전트 "스킬"이 왜 위험한가

• OpenClaw 같은 에이전트 게이트웨이는 로컬 파일, 브라우저, 터미널, 장기 메모리 파일에 실제 접근 권한을 가짐. 이게 바로 인포스틸러가 노리는 조합 그 자체임
• "스킬(Skill)"이란 게 결국 마크다운 파일임. 에이전트에게 특정 작업을 수행하는 방법을 알려주는 지시서인데, 링크, 복붙 명령어, 도구 호출 레시피를 포함할 수 있음
• 핵심 문제: 마크다운이 에이전트 생태계에서는 사실상 인스톨러 역할을 함. "여기 선행 조건이야" → "이 명령어 실행해" → "핵심 의존성 설치해" → "터미널에 붙여넣어" 이런 흐름으로 자연스럽게 실행을 유도

"MCP가 안전하게 해주는 거 아님?"

• 아님. 스킬은 MCP(Model Context Protocol)를 전혀 안 써도 됨. Agent Skills 스펙은 마크다운 본문에 아무 제한이 없고, 스크립트도 같이 번들링할 수 있어서 MCP 도구 경계를 완전히 우회 가능
• 이건 OpenClaw만의 문제가 아님. OpenAI를 포함한 여러 에이전트가 같은 Agent Skills 포맷(SKILL.md + 스크립트)을 채택하고 있어서, 악성 스킬이 에이전트 생태계 전체로 퍼질 수 있는 구조임

실제로 발견된 공격 체인

• ClawHub에서 가장 다운로드 수가 많았던 "Twitter" 스킬이 맬웨어 전달 수단이었음
• 공격 흐름이 교과서적인 단계별 전달(staged delivery)이었음:

sequenceDiagram
    participant 사용자
    participant 스킬문서 as 스킬 마크다운
    participant 스테이징 as 스테이징 페이지
    participant 페이로드 as 2차 페이로드
    participant 맬웨어 as 인포스틸러

    사용자->>스킬문서: "Twitter 스킬" 설치 시작
    스킬문서->>사용자: "필수 의존성 openclaw-core 설치 필요"
    사용자->>스테이징: "여기" 링크 클릭
    스테이징->>사용자: 난독화된 명령어 실행 유도
    사용자->>페이로드: 명령어 실행 → 2차 스크립트 다운로드
    페이로드->>맬웨어: 바이너리 다운로드 + macOS Gatekeeper 검역 해제
    맬웨어->>사용자: 브라우저 세션, 자격증명, SSH키, API키 탈취

• VirusTotal에 제출한 결과, 최종 바이너리는 명확하게 macOS 인포스틸링 맬웨어로 판정됨
• 이건 단발성이 아니었음. 후속 조사에서 수백 개의 OpenClaw 스킬이 ClickFix 방식으로 macOS 맬웨어를 유포하고 있었다는 보고가 나옴

공격이 잘 먹히는 이유

• 사람들은 마크다운 파일이 위험하다고 생각하지 않음
• "가장 많이 다운로드됨"을 신뢰 지표로 받아들임
• 셋업 스텝은 빨리 따라하는 게 습관화돼 있음
• 에이전트 생태계에서는 "지시를 읽는 것"과 "실행하는 것"의 경계가 무너짐
• 에이전트가 직접 셸 명령을 못 돌려도, 악성 선행조건을 "표준 설치 단계"로 자신 있게 안내하면서 사용자의 경계심을 낮출 수 있음

지금 당장 해야 할 것

• 사용자: 회사 장비에서 실행 금지. 이미 했으면 브라우저 세션, 개발자 토큰, SSH 키, 클라우드 세션 전부 로테이션하고 최근 로그인 이력 점검
• 스킬 레지스트리 운영자: 원라이너 인스톨러, 인코딩된 페이로드, 검역 해제 명령 스캔 필수. 발행자 평판 시스템 도입 필요
• 에이전트 프레임워크 빌더: 셸 실행 기본 차단, 브라우저·키체인·자격증명 저장소 샌드박싱, 권한은 최소·시간제한·철회 가능하게 설계해야 함