메인 콘텐츠로 건너뛰기

Documentation Index

Fetch the complete documentation index at: https://docs.openclaw.ai/llms.txt

Use this file to discover all available pages before exploring further.

개인 비서 신뢰 모델. 이 지침은 Gateway당 하나의 신뢰할 수 있는 운영자 경계(단일 사용자, 개인 비서 모델)를 가정합니다. OpenClaw는 하나의 에이전트나 Gateway를 공유하는 여러 적대적 사용자를 위한 적대적 멀티테넌트 보안 경계가 아닙니다. 혼합 신뢰 또는 적대적 사용자 운영이 필요하다면 신뢰 경계를 분리하세요(별도 Gateway + 자격 증명, 이상적으로는 별도 OS 사용자 또는 호스트).

먼저 범위 지정: 개인 비서 보안 모델

OpenClaw 보안 지침은 개인 비서 배포를 가정합니다. 하나의 신뢰할 수 있는 운영자 경계와 잠재적으로 여러 에이전트가 있는 형태입니다.
  • 지원되는 보안 태세: Gateway당 하나의 사용자/신뢰 경계(경계당 하나의 OS 사용자/호스트/VPS 권장).
  • 지원되는 보안 경계가 아닌 것: 서로 신뢰하지 않거나 적대적인 사용자가 사용하는 하나의 공유 Gateway/에이전트.
  • 적대적 사용자 격리가 필요하다면 신뢰 경계별로 분리하세요(별도 Gateway + 자격 증명, 이상적으로는 별도 OS 사용자/호스트).
  • 신뢰할 수 없는 여러 사용자가 도구가 활성화된 하나의 에이전트에 메시지를 보낼 수 있다면, 그 사용자들이 해당 에이전트에 위임된 동일한 도구 권한을 공유한다고 보세요.
이 페이지는 그 모델 안에서의 강화 방법을 설명합니다. 하나의 공유 Gateway에서 적대적 멀티테넌트 격리를 제공한다고 주장하지 않습니다.

빠른 점검: openclaw security audit

참고 항목: 형식 검증(보안 모델) 정기적으로 실행하세요(특히 구성을 변경하거나 네트워크 표면을 노출한 뒤): 
openclaw security audit
openclaw security audit --deep
openclaw security audit --fix
openclaw security audit --json
security audit --fix는 의도적으로 범위를 좁게 유지합니다. 일반적인 개방형 그룹 정책을 허용 목록으로 전환하고, logging.redactSensitive: "tools"를 복원하며, 상태/구성/include-file 권한을 강화하고, Windows에서 실행될 때는 POSIX chmod 대신 Windows ACL 재설정을 사용합니다. 일반적인 위험 요소(Gateway 인증 노출, 브라우저 제어 노출, 상승된 허용 목록, 파일 시스템 권한, 허용적인 exec 승인, 열린 채널 도구 노출)를 표시합니다. OpenClaw는 제품이자 실험입니다. 최첨단 모델 동작을 실제 메시징 표면과 실제 도구에 연결하는 것입니다. “완벽하게 안전한” 설정은 없습니다. 목표는 다음에 대해 의도적으로 판단하는 것입니다.
  • 누가 봇과 대화할 수 있는지
  • 봇이 어디에서 작업할 수 있는지
  • 봇이 무엇을 건드릴 수 있는지
작동하는 가장 작은 접근 권한으로 시작한 뒤, 확신이 생기면 넓히세요.

배포와 호스트 신뢰

OpenClaw는 호스트와 구성 경계가 신뢰된다고 가정합니다.
  • 누군가 Gateway 호스트 상태/구성(openclaw.json을 포함한 ~/.openclaw)을 수정할 수 있다면, 그 사람을 신뢰할 수 있는 운영자로 간주하세요.
  • 서로 신뢰하지 않거나 적대적인 여러 운영자를 위해 하나의 Gateway를 실행하는 것은 권장 설정이 아닙니다.
  • 혼합 신뢰 팀의 경우 별도 Gateway로 신뢰 경계를 분리하세요(또는 최소한 별도 OS 사용자/호스트).
  • 권장 기본값: 머신/호스트(또는 VPS)당 사용자 한 명, 해당 사용자를 위한 Gateway 하나, 그 Gateway 안의 에이전트 하나 이상.
  • 하나의 Gateway 인스턴스 안에서 인증된 운영자 접근은 사용자별 테넌트 역할이 아니라 신뢰할 수 있는 제어 플레인 역할입니다.
  • 세션 식별자(sessionKey, 세션 ID, 레이블)는 라우팅 선택자이지 인증 토큰이 아닙니다.
  • 여러 사람이 도구가 활성화된 하나의 에이전트에 메시지를 보낼 수 있다면, 각 사람은 동일한 권한 세트를 조종할 수 있습니다. 사용자별 세션/메모리 격리는 개인정보 보호에 도움이 되지만, 공유 에이전트를 사용자별 호스트 권한 부여로 바꾸지는 않습니다.

안전한 파일 작업

OpenClaw는 루트 경계 파일 접근, 원자적 쓰기, 아카이브 추출, 임시 작업 공간, 비밀 파일 헬퍼에 @openclaw/fs-safe를 사용합니다. OpenClaw는 fs-safe의 선택적 POSIX Python 헬퍼를 기본적으로 꺼둡니다. 추가 fd 상대 변경 강화가 필요하고 Python 런타임을 지원할 수 있을 때만 OPENCLAW_FS_SAFE_PYTHON_MODE=auto 또는 require를 설정하세요. 자세한 내용: 안전한 파일 작업.

공유 Slack 워크스페이스: 실제 위험

“Slack의 모든 사람이 봇에 메시지를 보낼 수 있다”면 핵심 위험은 위임된 도구 권한입니다.
  • 허용된 모든 발신자가 에이전트 정책 안에서 도구 호출(exec, 브라우저, 네트워크/파일 도구)을 유도할 수 있습니다.
  • 한 발신자의 프롬프트/콘텐츠 주입이 공유 상태, 장치 또는 출력에 영향을 주는 동작을 일으킬 수 있습니다.
  • 하나의 공유 에이전트에 민감한 자격 증명/파일이 있다면, 허용된 모든 발신자가 도구 사용을 통해 잠재적으로 유출을 유도할 수 있습니다.
팀 워크플로에는 최소한의 도구를 갖춘 별도 에이전트/Gateway를 사용하고, 개인 데이터 에이전트는 비공개로 유지하세요.

회사 공유 에이전트: 허용 가능한 패턴

해당 에이전트를 사용하는 모든 사람이 같은 신뢰 경계 안에 있고(예: 한 회사 팀), 에이전트가 엄격하게 업무 범위로 제한되어 있다면 허용 가능합니다.
  • 전용 머신/VM/컨테이너에서 실행합니다.
  • 해당 런타임에 전용 OS 사용자 + 전용 브라우저/프로필/계정을 사용합니다.
  • 해당 런타임을 개인 Apple/Google 계정이나 개인 비밀번호 관리자/브라우저 프로필에 로그인하지 않습니다.
개인 ID와 회사 ID를 같은 런타임에서 섞으면 분리가 무너지고 개인 데이터 노출 위험이 증가합니다.

Gateway와 Node 신뢰 개념

Gateway와 Node를 서로 다른 역할을 가진 하나의 운영자 신뢰 도메인으로 취급하세요.
  • Gateway는 제어 플레인과 정책 표면(gateway.auth, 도구 정책, 라우팅)입니다.
  • Node는 해당 Gateway에 페어링된 원격 실행 표면입니다(명령, 장치 동작, 호스트 로컬 기능).
  • Gateway에 인증된 호출자는 Gateway 범위에서 신뢰됩니다. 페어링 이후 Node 동작은 해당 Node에서 신뢰할 수 있는 운영자 동작입니다.
  • 운영자 범위 수준과 승인 시점 점검은 운영자 범위에 요약되어 있습니다.
  • 공유 Gateway 토큰/비밀번호로 인증된 직접 loopback 백엔드 클라이언트는 사용자 장치 ID를 제시하지 않고 내부 제어 플레인 RPC를 만들 수 있습니다. 이는 원격 또는 브라우저 페어링 우회가 아닙니다. 네트워크 클라이언트, Node 클라이언트, 장치 토큰 클라이언트, 명시적 장치 ID는 여전히 페어링과 범위 업그레이드 강제를 거칩니다.
  • sessionKey는 라우팅/컨텍스트 선택이지 사용자별 인증이 아닙니다.
  • Exec 승인(허용 목록 + 확인)은 운영자 의도를 위한 가드레일이지 적대적 멀티테넌트 격리가 아닙니다.
  • 신뢰할 수 있는 단일 운영자 설정에 대한 OpenClaw의 제품 기본값은 gateway/node에서의 호스트 exec가 승인 프롬프트 없이 허용되는 것입니다(security="full", 강화하지 않는 한 ask="off"). 그 기본값은 의도된 UX이지 그 자체로 취약점이 아닙니다.
  • Exec 승인은 정확한 요청 컨텍스트와 최선의 직접 로컬 파일 피연산자에 바인딩됩니다. 모든 런타임/인터프리터 로더 경로를 의미적으로 모델링하지는 않습니다. 강력한 경계를 위해 샌드박싱과 호스트 격리를 사용하세요.
적대적 사용자 격리가 필요하다면 OS 사용자/호스트별로 신뢰 경계를 분리하고 별도 Gateway를 실행하세요.

신뢰 경계 매트릭스

위험을 분류할 때 이 빠른 모델을 사용하세요.
경계 또는 제어의미흔한 오해
gateway.auth (토큰/비밀번호/신뢰 프록시/장치 인증)Gateway API 호출자를 인증“안전하려면 모든 프레임에 메시지별 서명이 필요하다”
sessionKey컨텍스트/세션 선택을 위한 라우팅 키“세션 키는 사용자 인증 경계다”
프롬프트/콘텐츠 가드레일모델 악용 위험 감소“프롬프트 주입만으로 인증 우회가 입증된다”
canvas.eval / 브라우저 evaluate활성화된 경우 의도된 운영자 기능“모든 JS eval 프리미티브는 이 신뢰 모델에서 자동으로 취약점이다”
로컬 TUI !명시적으로 운영자가 트리거한 로컬 실행“로컬 셸 편의 명령은 원격 주입이다”
Node 페어링과 Node 명령페어링된 장치에서 운영자 수준 원격 실행“원격 장치 제어는 기본적으로 신뢰할 수 없는 사용자 접근으로 취급해야 한다”
gateway.nodes.pairing.autoApproveCidrs옵트인 신뢰 네트워크 Node 등록 정책“기본적으로 비활성화된 허용 목록은 자동 페어링 취약점이다”

설계상 취약점이 아닌 것

다음 패턴은 자주 보고되며, 실제 경계 우회가 입증되지 않는 한 보통 조치 없음으로 종료됩니다.
  • 정책, 인증 또는 샌드박스 우회가 없는 프롬프트 주입만의 체인.
  • 하나의 공유 호스트 또는 구성에서 적대적 멀티테넌트 운영을 가정하는 주장.
  • 공유 Gateway 설정에서 정상적인 운영자 읽기 경로 접근(예: sessions.list / sessions.preview / chat.history)을 IDOR로 분류하는 주장.
  • localhost 전용 배포 발견 사항(예: loopback 전용 Gateway의 HSTS).
  • 이 repo에 존재하지 않는 인바운드 경로에 대한 Discord 인바운드 Webhook 서명 발견 사항.
  • 실제 실행 경계가 여전히 Gateway의 전역 Node 명령 정책과 Node 자체의 exec 승인인데도, Node 페어링 메타데이터를 system.run의 숨겨진 두 번째 명령별 승인 계층으로 취급하는 보고.
  • 구성된 gateway.nodes.pairing.autoApproveCidrs를 그 자체로 취약점으로 취급하는 보고. 이 설정은 기본적으로 비활성화되어 있고, 명시적 CIDR/IP 항목이 필요하며, 요청된 범위가 없는 최초 role: node 페어링에만 적용되고, 운영자/브라우저/Control UI, WebChat, 역할 업그레이드, 범위 업그레이드, 메타데이터 변경, 공개 키 변경, 또는 loopback 신뢰 프록시 인증이 명시적으로 활성화되지 않은 한 같은 호스트 loopback 신뢰 프록시 헤더 경로를 자동 승인하지 않습니다.
  • sessionKey를 인증 토큰으로 취급하는 “사용자별 권한 부여 누락” 발견 사항.

60초 강화 기준선

먼저 이 기준선을 사용한 뒤, 신뢰할 수 있는 에이전트별로 도구를 선택적으로 다시 활성화하세요. 
{
  gateway: {
    mode: "local",
    bind: "loopback",
    auth: { mode: "token", token: "replace-with-long-random-token" },
  },
  session: {
    dmScope: "per-channel-peer",
  },
  tools: {
    profile: "messaging",
    deny: ["group:automation", "group:runtime", "group:fs", "sessions_spawn", "sessions_send"],
    fs: { workspaceOnly: true },
    exec: { security: "deny", ask: "always" },
    elevated: { enabled: false },
  },
  channels: {
    whatsapp: { dmPolicy: "pairing", groups: { "*": { requireMention: true } } },
  },
}
이 설정은 Gateway를 로컬 전용으로 유지하고, DM을 격리하며, 제어 플레인/런타임 도구를 기본적으로 비활성화합니다.

공유 받은편지함 빠른 규칙

두 명 이상이 봇에 DM을 보낼 수 있다면:
  • session.dmScope: "per-channel-peer"를 설정하세요(다중 계정 채널의 경우 "per-account-channel-peer").
  • dmPolicy: "pairing" 또는 엄격한 허용 목록을 유지하세요.
  • 공유 DM을 광범위한 도구 접근과 절대 결합하지 마세요.
  • 이는 협업/공유 받은편지함을 강화하지만, 사용자가 호스트/구성 쓰기 접근을 공유할 때 적대적 공동 테넌트 격리로 설계된 것은 아닙니다.

컨텍스트 가시성 모델

OpenClaw는 두 개념을 분리합니다.
  • 트리거 권한 부여: 에이전트를 트리거할 수 있는 사람(dmPolicy, groupPolicy, 허용 목록, 멘션 게이트).
  • 컨텍스트 가시성: 모델 입력에 주입되는 보조 컨텍스트(답장 본문, 인용된 텍스트, 스레드 기록, 전달된 메타데이터).
허용 목록은 트리거와 명령 권한 부여를 제한합니다. contextVisibility 설정은 보조 컨텍스트(인용 답장, 스레드 루트, 가져온 기록)가 필터링되는 방식을 제어합니다:
  • contextVisibility: "all"(기본값)은 받은 보충 컨텍스트를 그대로 유지합니다.
  • contextVisibility: "allowlist"는 활성 허용 목록 검사를 통해 허용된 발신자에게만 보충 컨텍스트를 필터링합니다.
  • contextVisibility: "allowlist_quote"allowlist처럼 동작하지만, 명시적으로 인용된 답글 하나는 계속 유지합니다.
채널별 또는 방/대화별로 contextVisibility를 설정하세요. 설정 세부 정보는 그룹 채팅을 참고하세요. 권고 triage 지침:
  • “허용 목록에 없는 발신자의 인용된 텍스트나 이전 텍스트를 모델이 볼 수 있음”만 보여 주는 주장은 contextVisibility로 처리할 수 있는 강화 발견 사항이며, 그 자체로 인증 또는 sandbox 경계 우회가 아닙니다.
  • 보안 영향이 있으려면 보고서에 신뢰 경계 우회(인증, 정책, sandbox, 승인 또는 다른 문서화된 경계)가 입증되어야 합니다.

감사가 확인하는 항목(개요)

  • 인바운드 접근(DM 정책, 그룹 정책, 허용 목록): 낯선 사람이 봇을 트리거할 수 있나요?
  • 도구 영향 범위(상승된 권한의 도구 + 열린 방): prompt injection이 셸/파일/네트워크 작업으로 이어질 수 있나요?
  • Exec 파일 시스템 드리프트: exec/process는 sandbox 파일 시스템 제약 없이 계속 사용 가능한데, 파일 시스템을 변경하는 도구는 거부되나요?
  • Exec 승인 드리프트(security=full, autoAllowSkills, strictInlineEval 없는 인터프리터 허용 목록): 호스트 exec 보호 장치가 여전히 의도한 대로 동작하나요?
    • security="full"은 버그의 증거가 아니라 광범위한 자세 경고입니다. 신뢰할 수 있는 개인 비서 설정을 위해 선택된 기본값이며, 위협 모델에 승인 또는 허용 목록 보호 장치가 필요할 때만 강화하세요.
  • 네트워크 노출(Gateway 바인딩/인증, Tailscale Serve/Funnel, 약하거나 짧은 인증 토큰).
  • 브라우저 제어 노출(원격 노드, 릴레이 포트, 원격 CDP 엔드포인트).
  • 로컬 디스크 위생(권한, 심볼릭 링크, 구성 include, “동기화된 폴더” 경로).
  • Plugins(명시적 허용 목록 없이 plugins 로드).
  • 정책 드리프트/오구성(sandbox docker 설정은 구성되어 있지만 sandbox 모드가 꺼져 있음, gateway.nodes.denyCommands 패턴이 정확한 명령 이름만 일치시키기 때문에 효과 없음(예: system.run) 및 셸 텍스트를 검사하지 않음, 위험한 gateway.nodes.allowCommands 항목, 전역 tools.profile="minimal"이 agent별 프로필로 재정의됨, plugin 소유 도구가 허용적인 도구 정책 아래에서 접근 가능).
  • 런타임 기대 드리프트(예: tools.exec.host가 이제 기본적으로 auto인데 암시적 exec가 여전히 sandbox를 의미한다고 가정하거나, sandbox 모드가 꺼진 상태에서 tools.exec.host="sandbox"를 명시적으로 설정).
  • 모델 위생(구성된 모델이 레거시처럼 보이면 경고, 하드 차단은 아님).
--deep을 실행하면 OpenClaw는 최선 노력 방식의 라이브 Gateway 프로브도 시도합니다.

자격 증명 저장소 맵

접근을 감사하거나 백업할 대상을 결정할 때 사용하세요.
  • WhatsApp: ~/.openclaw/credentials/whatsapp/<accountId>/creds.json
  • Telegram 봇 토큰: config/env 또는 channels.telegram.tokenFile(일반 파일만 허용, 심볼릭 링크 거부)
  • Discord 봇 토큰: config/env 또는 SecretRef(env/file/exec providers)
  • Slack 토큰: config/env(channels.slack.*)
  • 페어링 허용 목록:
    • ~/.openclaw/credentials/<channel>-allowFrom.json(기본 계정)
    • ~/.openclaw/credentials/<channel>-<accountId>-allowFrom.json(기본이 아닌 계정)
  • 모델 인증 프로필: ~/.openclaw/agents/<agentId>/agent/auth-profiles.json
  • Codex 런타임 상태: ~/.openclaw/agents/<agentId>/agent/codex-home/
  • 파일 기반 비밀 payload(선택 사항): ~/.openclaw/secrets.json
  • 레거시 OAuth 가져오기: ~/.openclaw/credentials/oauth.json

보안 감사 체크리스트

감사가 발견 사항을 출력하면 다음을 우선순위로 처리하세요.
  1. “open” 상태 + 도구 활성화: 먼저 DM/그룹을 잠그고(페어링/허용 목록), 그다음 도구 정책/sandboxing을 강화하세요.
  2. 공개 네트워크 노출(LAN 바인딩, Funnel, 인증 누락): 즉시 수정하세요.
  3. 브라우저 제어 원격 노출: operator 접근처럼 취급하세요(tailnet 전용, 노드를 의도적으로 페어링, 공개 노출 방지).
  4. 권한: 상태/구성/자격 증명/인증이 그룹/전 세계 읽기 가능이 아닌지 확인하세요.
  5. Plugins: 명시적으로 신뢰하는 것만 로드하세요.
  6. 모델 선택: 도구가 있는 모든 봇에는 최신의 지시 강화 모델을 선호하세요.

보안 감사 용어집

각 감사 발견 사항은 구조화된 checkId로 식별됩니다(예: gateway.bind_no_auth 또는 tools.exec.security_full_configured). 일반적인 critical 심각도 클래스:
  • fs.* - 상태, 구성, 자격 증명, 인증 프로필의 파일 시스템 권한.
  • gateway.* - 바인딩 모드, 인증, Tailscale, Control UI, 신뢰된 프록시 설정.
  • hooks.*, browser.*, sandbox.*, tools.exec.* - 표면별 강화.
  • plugins.*, skills.* - plugin/skill 공급망 및 스캔 발견 사항.
  • security.exposure.* - 접근 정책이 도구 영향 범위와 만나는 교차 검사.
심각도 수준, 수정 키, 자동 수정 지원이 포함된 전체 카탈로그는 보안 감사 검사를 참고하세요.

HTTP를 통한 Control UI

Control UI는 장치 ID를 생성하려면 보안 컨텍스트(HTTPS 또는 localhost)가 필요합니다. gateway.controlUi.allowInsecureAuth는 로컬 호환성 토글입니다.
  • localhost에서는 페이지가 안전하지 않은 HTTP로 로드될 때 장치 ID 없이 Control UI 인증을 허용합니다.
  • 페어링 검사를 우회하지 않습니다.
  • 원격(non-localhost) 장치 ID 요구 사항을 완화하지 않습니다.
HTTPS(Tailscale Serve)를 선호하거나 127.0.0.1에서 UI를 여세요. 비상 시나리오에만 gateway.controlUi.dangerouslyDisableDeviceAuth를 사용해 장치 ID 검사를 완전히 비활성화할 수 있습니다. 이는 심각한 보안 다운그레이드입니다. 활발히 디버깅 중이고 빠르게 되돌릴 수 있는 경우가 아니라면 꺼 두세요. 이러한 위험한 플래그와 별개로, 성공한 gateway.auth.mode: "trusted-proxy"는 장치 ID 없이 operator Control UI 세션을 허용할 수 있습니다. 이는 의도된 인증 모드 동작이지 allowInsecureAuth 단축 경로가 아니며, 여전히 node-role Control UI 세션까지 확장되지는 않습니다. 이 설정이 활성화되어 있으면 openclaw security audit가 경고합니다.

안전하지 않거나 위험한 플래그 요약

알려진 안전하지 않거나 위험한 디버그 스위치가 활성화되어 있으면 openclaw security auditconfig.insecure_or_dangerous_flags를 발생시킵니다. 프로덕션에서는 이를 설정하지 마세요.
  • gateway.controlUi.allowInsecureAuth=true
  • gateway.controlUi.dangerouslyAllowHostHeaderOriginFallback=true
  • gateway.controlUi.dangerouslyDisableDeviceAuth=true
  • hooks.gmail.allowUnsafeExternalContent=true
  • hooks.mappings[<index>].allowUnsafeExternalContent=true
  • tools.exec.applyPatch.workspaceOnly=false
  • plugins.entries.acpx.config.permissionMode=approve-all
Control UI 및 브라우저:
  • gateway.controlUi.dangerouslyAllowHostHeaderOriginFallback
  • gateway.controlUi.dangerouslyDisableDeviceAuth
  • browser.ssrfPolicy.dangerouslyAllowPrivateNetwork
채널 이름 일치(번들 및 plugin 채널, 적용 가능한 경우 accounts.<accountId>별로도 사용 가능):
  • channels.discord.dangerouslyAllowNameMatching
  • channels.slack.dangerouslyAllowNameMatching
  • channels.googlechat.dangerouslyAllowNameMatching
  • channels.msteams.dangerouslyAllowNameMatching
  • channels.synology-chat.dangerouslyAllowNameMatching(plugin 채널)
  • channels.synology-chat.dangerouslyAllowInheritedWebhookPath(plugin 채널)
  • channels.zalouser.dangerouslyAllowNameMatching(plugin 채널)
  • channels.irc.dangerouslyAllowNameMatching(plugin 채널)
  • channels.mattermost.dangerouslyAllowNameMatching(plugin 채널)
네트워크 노출:
  • channels.telegram.network.dangerouslyAllowPrivateNetwork(계정별로도 가능)
Sandbox Docker(기본값 + agent별):
  • agents.defaults.sandbox.docker.dangerouslyAllowReservedContainerTargets
  • agents.defaults.sandbox.docker.dangerouslyAllowExternalBindSources
  • agents.defaults.sandbox.docker.dangerouslyAllowContainerNamespaceJoin

리버스 프록시 구성

리버스 프록시(nginx, Caddy, Traefik 등) 뒤에서 Gateway를 실행하는 경우, 전달된 클라이언트 IP를 올바르게 처리하도록 gateway.trustedProxies를 구성하세요. Gateway가 trustedProxies없는 주소에서 프록시 헤더를 감지하면 연결을 로컬 클라이언트로 취급하지 않습니다. gateway 인증이 비활성화되어 있으면 해당 연결은 거부됩니다. 이렇게 하면 프록시된 연결이 그렇지 않으면 localhost에서 온 것처럼 보이고 자동 신뢰를 받는 인증 우회를 방지합니다. gateway.trustedProxiesgateway.auth.mode: "trusted-proxy"에도 사용되지만, 해당 인증 모드는 더 엄격합니다.
  • trusted-proxy 인증은 기본적으로 loopback-source 프록시에 대해 닫힌 상태로 실패합니다
  • 같은 호스트의 loopback 리버스 프록시는 로컬 클라이언트 감지와 전달된 IP 처리에 gateway.trustedProxies를 사용할 수 있습니다
  • 같은 호스트의 loopback 리버스 프록시는 gateway.auth.trustedProxy.allowLoopback = true일 때만 gateway.auth.mode: "trusted-proxy"를 충족할 수 있습니다. 그렇지 않으면 토큰/비밀번호 인증을 사용하세요
gateway:
  trustedProxies:
    - "10.0.0.1" # reverse proxy IP
  # Optional. Default false.
  # Only enable if your proxy cannot provide X-Forwarded-For.
  allowRealIpFallback: false
  auth:
    mode: password
    password: ${OPENCLAW_GATEWAY_PASSWORD}
trustedProxies가 구성되면 Gateway는 X-Forwarded-For를 사용하여 클라이언트 IP를 결정합니다. gateway.allowRealIpFallback: true가 명시적으로 설정되지 않는 한 X-Real-IP는 기본적으로 무시됩니다. 신뢰된 프록시 헤더는 노드 장치 페어링을 자동으로 신뢰하게 만들지 않습니다. gateway.nodes.pairing.autoApproveCidrs는 별도의, 기본적으로 비활성화된 operator 정책입니다. 활성화된 경우에도 loopback-source trusted-proxy 헤더 경로는 노드 자동 승인에서 제외됩니다. 로컬 호출자가 이러한 헤더를 위조할 수 있기 때문이며, loopback trusted-proxy 인증이 명시적으로 활성화된 경우도 포함됩니다. 좋은 리버스 프록시 동작(들어오는 전달 헤더 덮어쓰기): 
proxy_set_header X-Forwarded-For $remote_addr;
proxy_set_header X-Real-IP $remote_addr;
나쁜 리버스 프록시 동작(신뢰할 수 없는 전달 헤더 추가/보존): 
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

HSTS 및 origin 참고 사항

  • OpenClaw gateway는 로컬/local loopback 우선입니다. 리버스 프록시에서 TLS를 종료하는 경우, 그곳의 프록시 대상 HTTPS 도메인에 HSTS를 설정하세요.
  • gateway 자체가 HTTPS를 종료하는 경우, gateway.http.securityHeaders.strictTransportSecurity를 설정하여 OpenClaw 응답에서 HSTS 헤더를 내보낼 수 있습니다.
  • 자세한 배포 지침은 Trusted Proxy Auth에 있습니다.
  • non-loopback Control UI 배포의 경우 기본적으로 gateway.controlUi.allowedOrigins가 필요합니다.
  • gateway.controlUi.allowedOrigins: ["*"]는 명시적인 모든 브라우저 origin 허용 정책이며, 강화된 기본값이 아닙니다. 엄격히 통제된 로컬 테스트 밖에서는 피하세요.
  • loopback의 브라우저 origin 인증 실패는 일반 loopback 예외가 활성화되어 있어도 여전히 속도 제한됩니다. 다만 잠금 키는 하나의 공유 localhost 버킷 대신 정규화된 Origin 값별로 범위가 지정됩니다.
  • gateway.controlUi.dangerouslyAllowHostHeaderOriginFallback=true는 Host 헤더 origin 폴백 모드를 활성화합니다. 이를 위험한 operator 선택 정책으로 취급하세요.
  • DNS 리바인딩과 프록시 Host 헤더 동작을 배포 강화 문제로 취급하세요. trustedProxies를 엄격히 유지하고 gateway를 공개 인터넷에 직접 노출하지 마세요.

로컬 세션 로그는 디스크에 저장됩니다

OpenClaw은 세션 기록을 ~/.openclaw/agents/<agentId>/sessions/*.jsonl 아래 디스크에 저장합니다. 이는 세션 연속성과 (선택적으로) 세션 메모리 인덱싱에 필요하지만, 동시에 파일시스템 접근 권한이 있는 모든 프로세스/사용자가 해당 로그를 읽을 수 있음을 의미합니다. 디스크 접근을 신뢰 경계로 보고 ~/.openclaw의 권한을 잠그세요(아래 감사 섹션 참고). 에이전트 간에 더 강한 격리가 필요하다면 별도 OS 사용자 또는 별도 호스트에서 실행하세요.

Node 실행 (system.run)

macOS 노드가 페어링되어 있으면 Gateway가 해당 노드에서 system.run을 호출할 수 있습니다. 이는 Mac에서의 원격 코드 실행입니다.
  • 노드 페어링(승인 + 토큰)이 필요합니다.
  • Gateway 노드 페어링은 명령별 승인 표면이 아닙니다. 노드 ID/신뢰와 토큰 발급을 설정합니다.
  • Gateway는 gateway.nodes.allowCommands / denyCommands를 통해 거친 전역 노드 명령 정책을 적용합니다.
  • Mac에서는 설정 → 실행 승인(보안 + 묻기 + 허용 목록)으로 제어됩니다.
  • 노드별 system.run 정책은 노드 자체의 실행 승인 파일(exec.approvals.node.*)이며, Gateway의 전역 명령-ID 정책보다 더 엄격하거나 느슨할 수 있습니다.
  • security="full"ask="off"로 실행되는 노드는 기본 신뢰된 운영자 모델을 따르는 것입니다. 배포 환경이 더 엄격한 승인 또는 허용 목록 태세를 명시적으로 요구하지 않는 한, 이를 예상 동작으로 간주하세요.
  • 승인 모드는 정확한 요청 컨텍스트와, 가능한 경우 하나의 구체적인 로컬 스크립트/파일 피연산자를 바인딩합니다. OpenClaw가 인터프리터/런타임 명령에 대해 정확히 하나의 직접 로컬 파일을 식별할 수 없으면, 승인 기반 실행은 전체 의미적 범위를 보장한다고 약속하는 대신 거부됩니다.
  • host=node의 경우, 승인 기반 실행은 표준 준비된 systemRunPlan도 저장합니다. 이후 승인된 전달은 저장된 해당 계획을 재사용하며, Gateway 검증은 승인 요청이 생성된 뒤 호출자가 command/cwd/session 컨텍스트를 편집하면 거부합니다.
  • 원격 실행을 원하지 않으면 보안을 deny로 설정하고 해당 Mac의 노드 페어링을 제거하세요.
이 구분은 분류에 중요합니다.
  • 다시 연결된 페어링 노드가 다른 명령 목록을 광고하더라도, Gateway 전역 정책과 노드의 로컬 실행 승인이 실제 실행 경계를 계속 강제한다면 그 자체로는 취약점이 아닙니다.
  • 노드 페어링 메타데이터를 두 번째 숨겨진 명령별 승인 계층으로 취급하는 보고서는 보통 보안 경계 우회가 아니라 정책/UX 혼동입니다.

동적 Skills(감시자 / 원격 노드)

OpenClaw은 세션 중간에 Skills 목록을 새로 고칠 수 있습니다.
  • Skills 감시자: SKILL.md 변경 사항은 다음 에이전트 턴에서 Skills 스냅샷을 업데이트할 수 있습니다.
  • 원격 노드: macOS 노드가 연결되면 macOS 전용 Skills가 사용 가능해질 수 있습니다(바이너리 탐색 기준).
스킬 폴더를 신뢰된 코드로 취급하고 수정할 수 있는 사용자를 제한하세요.

위협 모델

AI 어시스턴트는 다음을 수행할 수 있습니다.
  • 임의의 셸 명령 실행
  • 파일 읽기/쓰기
  • 네트워크 서비스 접근
  • 누구에게나 메시지 보내기(WhatsApp 접근 권한을 부여한 경우)
당신에게 메시지를 보내는 사람은 다음을 시도할 수 있습니다.
  • AI를 속여 나쁜 일을 하게 만들기
  • 데이터 접근 권한을 얻기 위한 사회공학
  • 인프라 세부 정보 탐색

핵심 개념: 지능보다 먼저 접근 제어

여기서 발생하는 대부분의 실패는 정교한 익스플로잇이 아니라 “누군가 봇에게 메시지를 보냈고 봇이 요청대로 수행했다”입니다. OpenClaw의 입장:
  • ID 우선: 봇과 대화할 수 있는 사람을 결정합니다(DM 페어링 / 허용 목록 / 명시적 “open”).
  • 범위 다음: 봇이 어디에서 동작할 수 있는지 결정합니다(그룹 허용 목록 + 멘션 게이팅, 도구, 샌드박싱, 기기 권한).
  • 모델 마지막: 모델은 조작될 수 있다고 가정하고, 조작의 영향 범위가 제한되도록 설계합니다.

명령 승인 모델

슬래시 명령과 지시문은 승인된 발신자에 대해서만 인정됩니다. 승인은 채널 허용 목록/페어링과 commands.useAccessGroups에서 파생됩니다(ConfigurationSlash commands 참고). 채널 허용 목록이 비어 있거나 "*"를 포함하면, 해당 채널의 명령은 사실상 열린 상태입니다. /exec는 승인된 운영자를 위한 세션 전용 편의 기능입니다. 구성에 쓰거나 다른 세션을 변경하지 않습니다.

제어 평면 도구 위험

두 가지 내장 도구는 지속적인 제어 평면 변경을 만들 수 있습니다.
  • gatewayconfig.schema.lookup / config.get으로 구성을 검사할 수 있고, config.apply, config.patch, update.run으로 지속 변경을 만들 수 있습니다.
  • cron은 원래 채팅/작업이 끝난 뒤에도 계속 실행되는 예약 작업을 만들 수 있습니다.
소유자 전용 gateway 런타임 도구는 여전히 tools.exec.ask 또는 tools.exec.security 재작성을 거부합니다. 레거시 tools.bash.* 별칭은 쓰기 전에 동일한 보호된 실행 경로로 정규화됩니다. 에이전트가 주도하는 gateway config.applygateway config.patch 편집은 기본적으로 닫힌 실패 방식입니다. 프롬프트, 모델, 멘션 게이팅 경로의 좁은 집합만 에이전트가 조정할 수 있습니다. 따라서 새 민감 구성 트리는 허용 목록에 의도적으로 추가되지 않는 한 보호됩니다. 신뢰할 수 없는 콘텐츠를 처리하는 모든 에이전트/표면에서는 기본적으로 이를 거부하세요. 
{
  tools: {
    deny: ["gateway", "cron", "sessions_spawn", "sessions_send"],
  },
}
commands.restart=false는 재시작 동작만 차단합니다. gateway 구성/업데이트 동작을 비활성화하지는 않습니다.

Plugins

Plugins는 Gateway와 프로세스 내부에서 실행됩니다. 이를 신뢰된 코드로 취급하세요.
  • 신뢰하는 출처의 Plugins만 설치하세요.
  • 명시적인 plugins.allow 허용 목록을 선호하세요.
  • 활성화하기 전에 Plugin 구성을 검토하세요.
  • Plugin 변경 후 Gateway를 재시작하세요.
  • Plugins를 설치하거나 업데이트하는 경우(openclaw plugins install <package>, openclaw plugins update <id>), 신뢰할 수 없는 코드를 실행하는 것처럼 취급하세요.
    • 설치 경로는 활성 Plugin 설치 루트 아래의 Plugin별 디렉터리입니다.
    • OpenClaw은 설치/업데이트 전에 내장 위험 코드 스캔을 실행합니다. 기본적으로 critical 발견 사항은 차단됩니다.
    • npm 및 git Plugin 설치는 명시적 설치/업데이트 흐름 중에만 패키지 관리자 의존성 수렴을 실행합니다. 로컬 경로와 아카이브는 자체 포함 Plugin 패키지로 취급됩니다. OpenClaw은 npm install을 실행하지 않고 이를 복사/참조합니다.
    • 고정된 정확한 버전(@scope/pkg@1.2.3)을 선호하고, 활성화하기 전에 디스크에 풀린 코드를 검사하세요.
    • --dangerously-force-unsafe-install은 Plugin 설치/업데이트 흐름에서 내장 스캔 오탐에 대해서만 사용하는 비상 수단입니다. Plugin before_install 훅 정책 차단을 우회하지 않으며 스캔 실패도 우회하지 않습니다.
    • Gateway 기반 스킬 의존성 설치는 동일한 위험/의심 분리를 따릅니다. 호출자가 dangerouslyForceUnsafeInstall을 명시적으로 설정하지 않는 한 내장 critical 발견 사항은 차단되며, 의심 발견 사항은 계속 경고만 합니다. openclaw skills install은 별도의 ClawHub 스킬 다운로드/설치 흐름으로 유지됩니다.
자세한 내용: Plugins

DM 액세스 모델: pairing, allowlist, open, disabled

현재 DM을 지원하는 모든 채널은 메시지가 처리되기 전에 들어오는 DM을 게이트하는 DM 정책(dmPolicy 또는 *.dm.policy)을 지원합니다.
  • pairing(기본값): 알 수 없는 발신자는 짧은 페어링 코드를 받고, 봇은 승인될 때까지 해당 메시지를 무시합니다. 코드는 1시간 후 만료됩니다. 반복 DM은 새 요청이 생성될 때까지 코드를 다시 보내지 않습니다. 대기 중인 요청은 기본적으로 채널당 3개로 제한됩니다.
  • allowlist: 알 수 없는 발신자는 차단됩니다(페어링 핸드셰이크 없음).
  • open: 누구나 DM을 보낼 수 있게 허용합니다(공개). 채널 허용 목록에 "*"가 포함되어야 합니다(명시적 옵트인).
  • disabled: 들어오는 DM을 완전히 무시합니다.
CLI로 승인: 
openclaw pairing list <channel>
openclaw pairing approve <channel> <code>
자세한 내용 + 디스크의 파일: Pairing

DM 세션 격리(다중 사용자 모드)

기본적으로 OpenClaw은 모든 DM을 기본 세션으로 라우팅하여 어시스턴트가 기기와 채널 전반에서 연속성을 갖도록 합니다. 여러 사람이 봇에게 DM을 보낼 수 있다면(열린 DM 또는 여러 사람 허용 목록), DM 세션 격리를 고려하세요. 
{
  session: { dmScope: "per-channel-peer" },
}
이렇게 하면 그룹 채팅은 격리된 상태로 유지하면서 사용자 간 컨텍스트 누출을 방지합니다. 이는 메시징 컨텍스트 경계이지 호스트 관리자 경계가 아닙니다. 사용자가 서로 적대적이고 동일한 Gateway 호스트/구성을 공유한다면, 대신 신뢰 경계별로 별도 Gateway를 실행하세요.

보안 DM 모드(권장)

위 스니펫을 보안 DM 모드로 취급하세요.
  • 기본값: session.dmScope: "main"(연속성을 위해 모든 DM이 하나의 세션을 공유).
  • 로컬 CLI 온보딩 기본값: 설정되어 있지 않으면 session.dmScope: "per-channel-peer"를 씁니다(기존 명시적 값 유지).
  • 보안 DM 모드: session.dmScope: "per-channel-peer"(각 채널+발신자 쌍이 격리된 DM 컨텍스트를 얻음).
  • 채널 간 피어 격리: session.dmScope: "per-peer"(각 발신자가 동일한 유형의 모든 채널에서 하나의 세션을 얻음).
동일한 채널에서 여러 계정을 실행한다면 대신 per-account-channel-peer를 사용하세요. 같은 사람이 여러 채널로 연락한다면, session.identityLinks를 사용해 해당 DM 세션들을 하나의 표준 ID로 병합하세요. Session ManagementConfiguration을 참고하세요.

DM 및 그룹 허용 목록

OpenClaw에는 별도의 “누가 나를 트리거할 수 있는가?” 계층이 두 개 있습니다.
  • DM 허용 목록(allowFrom / channels.discord.allowFrom / channels.slack.allowFrom; 레거시: channels.discord.dm.allowFrom, channels.slack.dm.allowFrom): 직접 메시지에서 봇과 대화할 수 있는 사람입니다.
    • dmPolicy="pairing"일 때, 승인은 ~/.openclaw/credentials/ 아래의 계정 범위 페어링 허용 목록 저장소(기본 계정은 <channel>-allowFrom.json, 기본이 아닌 계정은 <channel>-<accountId>-allowFrom.json)에 기록되고 구성 허용 목록과 병합됩니다.
  • 그룹 허용 목록(채널별): 봇이 메시지를 전혀 수락할 그룹/채널/길드입니다.
    • 일반적인 패턴:
      • channels.whatsapp.groups, channels.telegram.groups, channels.imessage.groups: requireMention 같은 그룹별 기본값입니다. 설정되면 그룹 허용 목록으로도 동작합니다(전체 허용 동작을 유지하려면 "*" 포함).
      • groupPolicy="allowlist" + groupAllowFrom: 그룹 세션 내부에서 봇을 트리거할 수 있는 사람을 제한합니다(WhatsApp/Telegram/Signal/iMessage/Microsoft Teams).
      • channels.discord.guilds / channels.slack.channels: 표면별 허용 목록 + 멘션 기본값입니다.
    • 그룹 검사는 이 순서로 실행됩니다. 먼저 groupPolicy/그룹 허용 목록, 그다음 멘션/답글 활성화입니다.
    • 봇 메시지에 답장하는 것(암시적 멘션)은 groupAllowFrom 같은 발신자 허용 목록을 우회하지 않습니다.
    • 보안 참고: dmPolicy="open"groupPolicy="open"을 최후의 수단 설정으로 취급하세요. 거의 사용하지 않아야 하며, 방의 모든 구성원을 완전히 신뢰하지 않는 한 페어링 + 허용 목록을 선호하세요.
자세한 내용: ConfigurationGroups

프롬프트 인젝션(정의와 중요한 이유)

프롬프트 인젝션은 공격자가 모델을 조작해 안전하지 않은 일을 하게 만드는 메시지를 작성하는 경우입니다(“지침을 무시해”, “파일시스템을 덤프해”, “이 링크를 따라가 명령을 실행해” 등). 강력한 시스템 프롬프트가 있어도 프롬프트 인젝션은 해결된 문제가 아닙니다. 시스템 프롬프트 가드레일은 부드러운 지침일 뿐입니다. 강제 집행은 도구 정책, 실행 승인, 샌드박싱, 채널 허용 목록에서 나옵니다(그리고 운영자는 설계상 이를 비활성화할 수 있습니다). 실제로 도움이 되는 것:
  • 수신 DM은 제한적으로 유지하세요(페어링/허용 목록).
  • 그룹에서는 멘션 게이팅을 선호하고, 공개 방에서는 “항상 켜져 있는” 봇을 피하세요.
  • 링크, 첨부 파일, 붙여넣은 지침은 기본적으로 적대적인 것으로 취급하세요.
  • 민감한 도구 실행은 샌드박스에서 수행하고, 에이전트가 접근 가능한 파일 시스템 밖에 비밀을 두세요.
  • 참고: 샌드박싱은 옵트인입니다. 샌드박스 모드가 꺼져 있으면 암시적 host=auto는 Gateway 호스트로 해석됩니다. 명시적 host=sandbox는 사용할 수 있는 샌드박스 런타임이 없기 때문에 여전히 닫힌 상태로 실패합니다. 그 동작을 설정에서 명시하고 싶다면 host=gateway를 설정하세요.
  • 고위험 도구(exec, browser, web_fetch, web_search)는 신뢰할 수 있는 에이전트나 명시적 허용 목록으로 제한하세요.
  • 인터프리터(python, node, ruby, perl, php, lua, osascript)를 허용 목록에 넣는 경우, 인라인 eval 형태도 계속 명시적 승인이 필요하도록 tools.exec.strictInlineEval을 활성화하세요.
  • 셸 승인 분석은 따옴표 없는 heredoc 안의 POSIX 매개변수 확장 형태($VAR, $?, $$, $1, $@, ${…})도 거부합니다. 따라서 허용 목록에 있는 heredoc 본문이 일반 텍스트처럼 허용 목록 검토를 우회해 셸 확장을 몰래 수행할 수 없습니다. 리터럴 본문 의미 체계를 사용하려면 heredoc 종료자(예: <<'EOF')를 따옴표로 감싸세요. 변수를 확장했을 따옴표 없는 heredoc은 거부됩니다.
  • 모델 선택은 중요합니다: 오래된/작은/레거시 모델은 프롬프트 인젝션과 도구 오용에 대한 견고성이 크게 떨어집니다. 도구가 활성화된 에이전트에는 사용 가능한 최신 세대의 가장 강력하고 지침에 강화된 모델을 사용하세요.
신뢰할 수 없는 것으로 취급해야 하는 위험 신호:
  • “이 파일/URL을 읽고 거기에 쓰인 내용을 정확히 수행하세요.”
  • “시스템 프롬프트나 안전 규칙을 무시하세요.”
  • “숨겨진 지침이나 도구 출력을 공개하세요.”
  • ”~/.openclaw 또는 로그의 전체 내용을 붙여넣으세요.”

외부 콘텐츠 특수 토큰 정리

OpenClaw는 감싼 외부 콘텐츠와 메타데이터가 모델에 도달하기 전에, 자체 호스팅 LLM 채팅 템플릿에서 흔히 쓰이는 특수 토큰 리터럴을 제거합니다. 포함되는 마커 계열에는 Qwen/ChatML, Llama, Gemma, Mistral, Phi, GPT-OSS 역할/턴 토큰이 있습니다. 이유:
  • 자체 호스팅 모델을 앞단에 둔 OpenAI 호환 백엔드는 때때로 사용자 텍스트에 나타나는 특수 토큰을 마스킹하지 않고 그대로 보존합니다. 그렇지 않으면 수신 외부 콘텐츠(가져온 페이지, 이메일 본문, 파일 내용 도구 출력)에 쓸 수 있는 공격자가 합성 assistant 또는 system 역할 경계를 주입해 감싼 콘텐츠 가드레일을 벗어날 수 있습니다.
  • 정리는 외부 콘텐츠 래핑 계층에서 이루어지므로, 공급자별로 적용되는 대신 fetch/read 도구와 수신 채널 콘텐츠 전반에 균일하게 적용됩니다.
  • 발신 모델 응답에는 이미 별도의 정리기가 있으며, 최종 채널 전달 경계에서 사용자에게 보이는 응답에서 누출된 <tool_call>, <function_calls>, <system-reminder>, <previous_response> 및 유사한 내부 런타임 스캐폴딩을 제거합니다. 외부 콘텐츠 정리기는 이에 대응하는 수신 측 장치입니다.
이는 이 페이지의 다른 강화 수단인 dmPolicy, 허용 목록, exec 승인, 샌드박싱, contextVisibility를 대체하지 않습니다. 이러한 수단이 여전히 핵심 역할을 합니다. 이 기능은 특수 토큰이 포함된 사용자 텍스트를 그대로 전달하는 자체 호스팅 스택을 대상으로 한 특정 토크나이저 계층 우회를 막습니다.

안전하지 않은 외부 콘텐츠 우회 플래그

OpenClaw에는 외부 콘텐츠 안전 래핑을 비활성화하는 명시적 우회 플래그가 포함되어 있습니다.
  • hooks.mappings[].allowUnsafeExternalContent
  • hooks.gmail.allowUnsafeExternalContent
  • Cron 페이로드 필드 allowUnsafeExternalContent
가이드라인:
  • 프로덕션에서는 이를 설정하지 않거나 false로 유지하세요.
  • 매우 좁은 범위의 디버깅을 위해서만 일시적으로 활성화하세요.
  • 활성화한 경우 해당 에이전트를 격리하세요(샌드박스 + 최소 도구 + 전용 세션 네임스페이스).
Hooks 위험 참고:
  • Hook 페이로드는 전달이 사용자가 제어하는 시스템에서 오더라도 신뢰할 수 없는 콘텐츠입니다(메일/문서/웹 콘텐츠에는 프롬프트 인젝션이 포함될 수 있음).
  • 약한 모델 티어는 이 위험을 높입니다. Hook 기반 자동화에는 강력한 최신 모델 티어를 선호하고 도구 정책을 엄격하게 유지하세요(tools.profile: "messaging" 또는 더 엄격하게). 가능하면 샌드박싱도 사용하세요.

프롬프트 인젝션에는 공개 DM이 필요하지 않습니다

오직 사용자만 봇에 메시지를 보낼 수 있더라도, 봇이 읽는 신뢰할 수 없는 콘텐츠(웹 검색/가져오기 결과, 브라우저 페이지, 이메일, 문서, 첨부 파일, 붙여넣은 로그/코드)를 통해 프롬프트 인젝션이 여전히 발생할 수 있습니다. 즉, 발신자만 위협 표면인 것은 아니며, 콘텐츠 자체가 적대적 지침을 담을 수 있습니다. 도구가 활성화되어 있을 때 일반적인 위험은 컨텍스트 유출 또는 도구 호출 유발입니다. 다음으로 영향 범위를 줄이세요.
  • 읽기 전용 또는 도구 비활성화 리더 에이전트를 사용해 신뢰할 수 없는 콘텐츠를 요약한 다음, 그 요약을 주 에이전트에 전달하세요.
  • 도구가 활성화된 에이전트에서는 필요하지 않은 한 web_search / web_fetch / browser를 꺼 두세요.
  • OpenResponses URL 입력(input_file / input_image)의 경우 gateway.http.endpoints.responses.files.urlAllowlistgateway.http.endpoints.responses.images.urlAllowlist를 엄격하게 설정하고, maxUrlParts를 낮게 유지하세요. 빈 허용 목록은 설정되지 않은 것으로 취급됩니다. URL 가져오기를 완전히 비활성화하려면 files.allowUrl: false / images.allowUrl: false를 사용하세요.
  • OpenResponses 파일 입력의 경우, 디코딩된 input_file 텍스트는 여전히 신뢰할 수 없는 외부 콘텐츠로 주입됩니다. Gateway가 이를 로컬에서 디코딩했다는 이유만으로 파일 텍스트를 신뢰할 수 있다고 가정하지 마세요. 이 경로에서는 더 긴 SECURITY NOTICE: 배너를 생략하더라도, 주입된 블록은 여전히 명시적 <<<EXTERNAL_UNTRUSTED_CONTENT ...>>> 경계 마커와 Source: External 메타데이터를 포함합니다.
  • 미디어 이해 기능이 첨부 문서에서 텍스트를 추출한 뒤 해당 텍스트를 미디어 프롬프트에 덧붙일 때도 동일한 마커 기반 래핑이 적용됩니다.
  • 신뢰할 수 없는 입력을 다루는 모든 에이전트에 대해 샌드박싱과 엄격한 도구 허용 목록을 활성화하세요.
  • 비밀은 프롬프트에 넣지 말고, 대신 Gateway 호스트의 env/config를 통해 전달하세요.

자체 호스팅 LLM 백엔드

vLLM, SGLang, TGI, LM Studio 또는 사용자 지정 Hugging Face 토크나이저 스택과 같은 OpenAI 호환 자체 호스팅 백엔드는 채팅 템플릿 특수 토큰 처리 방식이 호스팅 공급자와 다를 수 있습니다. 백엔드가 <|im_start|>, <|start_header_id|>, <start_of_turn> 같은 리터럴 문자열을 사용자 콘텐츠 안에서 구조적 채팅 템플릿 토큰으로 토크나이즈하는 경우, 신뢰할 수 없는 텍스트가 토크나이저 계층에서 역할 경계를 위조하려고 시도할 수 있습니다. OpenClaw는 모델에 디스패치하기 전에 감싼 외부 콘텐츠에서 흔한 모델 계열 특수 토큰 리터럴을 제거합니다. 외부 콘텐츠 래핑을 활성화해 두고, 사용 가능한 경우 사용자가 제공한 콘텐츠의 특수 토큰을 분리하거나 이스케이프하는 백엔드 설정을 선호하세요. OpenAI 및 Anthropic과 같은 호스팅 공급자는 이미 자체 요청 측 정리를 적용합니다.

모델 강도(보안 참고)

프롬프트 인젝션 저항성은 모델 티어 전반에서 균일하지 않습니다. 작거나 저렴한 모델은 일반적으로 도구 오용과 지침 탈취에 더 취약하며, 특히 적대적 프롬프트에서는 더 그렇습니다.
도구가 활성화된 에이전트 또는 신뢰할 수 없는 콘텐츠를 읽는 에이전트의 경우, 오래된/작은 모델의 프롬프트 인젝션 위험은 종종 지나치게 높습니다. 그런 워크로드를 약한 모델 티어에서 실행하지 마세요.
권장 사항:
  • 도구를 실행하거나 파일/네트워크에 접근할 수 있는 모든 봇에는 최신 세대의 최상위 티어 모델을 사용하세요.
  • 도구가 활성화된 에이전트나 신뢰할 수 없는 받은 편지함에는 오래된/약한/작은 티어를 사용하지 마세요. 프롬프트 인젝션 위험이 너무 높습니다.
  • 작은 모델을 반드시 사용해야 한다면 영향 범위를 줄이세요(읽기 전용 도구, 강력한 샌드박싱, 최소 파일 시스템 접근, 엄격한 허용 목록).
  • 작은 모델을 실행할 때는 모든 세션에 샌드박싱을 활성화하고 입력이 엄격히 제어되지 않는 한 web_search/web_fetch/browser를 비활성화하세요.
  • 신뢰할 수 있는 입력만 사용하고 도구가 없는 채팅 전용 개인 비서에는 작은 모델도 일반적으로 괜찮습니다.

그룹에서의 추론 및 자세한 출력

/reasoning, /verbose, /trace는 내부 추론, 도구 출력 또는 공개 채널용이 아닌 Plugin 진단을 노출할 수 있습니다. 그룹 환경에서는 이를 디버그 전용으로 취급하고, 명시적으로 필요하지 않은 한 꺼 두세요. 가이드라인:
  • 공개 방에서는 /reasoning, /verbose, /trace를 비활성화해 두세요.
  • 활성화한다면 신뢰할 수 있는 DM 또는 엄격하게 통제되는 방에서만 사용하세요.
  • 자세한 출력과 추적 출력에는 도구 인수, URL, Plugin 진단, 모델이 본 데이터가 포함될 수 있음을 기억하세요.

설정 강화 예시

파일 권한

Gateway 호스트에서 config + state를 비공개로 유지하세요.
  • ~/.openclaw/openclaw.json: 600(사용자 읽기/쓰기 전용)
  • ~/.openclaw: 700(사용자 전용)
openclaw doctor는 이러한 권한을 더 엄격하게 조정하도록 경고하고 제안할 수 있습니다.

네트워크 노출(bind, port, firewall)

Gateway는 단일 포트에서 WebSocket + HTTP를 멀티플렉싱합니다.
  • 기본값: 18789
  • 설정/플래그/env: gateway.port, --port, OPENCLAW_GATEWAY_PORT
이 HTTP 표면에는 Control UI와 캔버스 호스트가 포함됩니다.
  • Control UI(SPA 에셋)(기본 기본 경로 /)
  • 캔버스 호스트: /__openclaw__/canvas//__openclaw__/a2ui/(임의 HTML/JS; 신뢰할 수 없는 콘텐츠로 취급)
일반 브라우저에서 캔버스 콘텐츠를 로드하는 경우, 다른 신뢰할 수 없는 웹 페이지와 동일하게 취급하세요.
  • 캔버스 호스트를 신뢰할 수 없는 네트워크/사용자에게 노출하지 마세요.
  • 영향을 완전히 이해하지 않는 한, 캔버스 콘텐츠가 권한 있는 웹 표면과 동일한 origin을 공유하게 하지 마세요.
bind 모드는 Gateway가 수신 대기하는 위치를 제어합니다.
  • gateway.bind: "loopback"(기본값): 로컬 클라이언트만 연결할 수 있습니다.
  • local loopback이 아닌 bind("lan", "tailnet", "custom")는 공격 표면을 넓힙니다. Gateway 인증(공유 토큰/비밀번호 또는 올바르게 구성된 신뢰할 수 있는 프록시)과 실제 방화벽을 함께 사용하는 경우에만 사용하세요.
경험칙:
  • LAN bind보다 Tailscale Serve를 선호하세요(Serve는 Gateway를 loopback에 유지하고, Tailscale이 접근을 처리합니다).
  • LAN에 bind해야 한다면, 포트를 출발지 IP의 엄격한 허용 목록으로 방화벽 처리하세요. 광범위하게 포트 포워딩하지 마세요.
  • 인증되지 않은 Gateway를 0.0.0.0에 절대 노출하지 마세요.

UFW를 사용한 Docker 포트 게시

VPS에서 Docker로 OpenClaw를 실행하는 경우, 게시된 컨테이너 포트 (-p HOST:CONTAINER 또는 Compose ports:)는 호스트 INPUT 규칙뿐 아니라 Docker의 포워딩 체인을 통해 라우팅된다는 점을 기억하세요. Docker 트래픽을 방화벽 정책과 맞게 유지하려면 DOCKER-USER에서 규칙을 적용하세요(이 체인은 Docker 자체 accept 규칙보다 먼저 평가됩니다). 많은 최신 배포판에서 iptables/ip6tablesiptables-nft 프런트엔드를 사용하며 이러한 규칙을 nftables 백엔드에도 계속 적용합니다. 최소 허용 목록 예시(IPv4): 
# /etc/ufw/after.rules (append as its own *filter section)
*filter
:DOCKER-USER - [0:0]
-A DOCKER-USER -m conntrack --ctstate ESTABLISHED,RELATED -j RETURN
-A DOCKER-USER -s 127.0.0.0/8 -j RETURN
-A DOCKER-USER -s 10.0.0.0/8 -j RETURN
-A DOCKER-USER -s 172.16.0.0/12 -j RETURN
-A DOCKER-USER -s 192.168.0.0/16 -j RETURN
-A DOCKER-USER -s 100.64.0.0/10 -j RETURN
-A DOCKER-USER -p tcp --dport 80 -j RETURN
-A DOCKER-USER -p tcp --dport 443 -j RETURN
-A DOCKER-USER -m conntrack --ctstate NEW -j DROP
-A DOCKER-USER -j RETURN
COMMIT
IPv6에는 별도의 테이블이 있습니다. Docker IPv6가 활성화되어 있다면 /etc/ufw/after6.rules에 일치하는 정책을 추가하세요. 문서 스니펫에 eth0 같은 인터페이스 이름을 하드코딩하지 마세요. 인터페이스 이름은 VPS 이미지마다 다르며(ens3, enp* 등), 일치하지 않으면 실수로 거부 규칙을 건너뛸 수 있습니다. 다시 로드한 뒤 빠른 검증: 
ufw reload
iptables -S DOCKER-USER
ip6tables -S DOCKER-USER
nmap -sT -p 1-65535 <public-ip> --open
예상되는 외부 포트는 의도적으로 노출한 것만이어야 합니다(대부분의 설정에서는 SSH + 역방향 프록시 포트).

mDNS/Bonjour 탐색

번들 bonjour Plugin이 활성화되면 Gateway는 로컬 장치 탐색을 위해 mDNS(_openclaw-gw._tcp, 포트 5353)를 통해 자신의 존재를 브로드캐스트합니다. 전체 모드에서는 운영 세부 정보를 노출할 수 있는 TXT 레코드가 포함됩니다:
  • cliPath: CLI 바이너리의 전체 파일 시스템 경로(사용자 이름과 설치 위치가 드러남)
  • sshPort: 호스트의 SSH 사용 가능 여부를 알림
  • displayName, lanHost: 호스트 이름 정보
운영 보안 고려 사항: 인프라 세부 정보를 브로드캐스트하면 로컬 네트워크의 누구나 정찰하기가 더 쉬워집니다. 파일 시스템 경로나 SSH 사용 가능 여부처럼 “무해한” 정보도 공격자가 환경을 파악하는 데 도움이 됩니다. 권장 사항:
  1. LAN 검색이 필요하지 않으면 Bonjour를 비활성화된 상태로 유지하세요. Bonjour는 macOS 호스트에서는 자동으로 시작되고 그 외에서는 옵트인입니다. 직접 Gateway URL, Tailnet, SSH 또는 광역 DNS-SD를 사용하면 로컬 멀티캐스트를 피할 수 있습니다.
  2. 최소 모드(Bonjour가 활성화되었을 때 기본값, 노출된 Gateway에 권장): mDNS 브로드캐스트에서 민감한 필드를 생략합니다. 
    {
  discovery: {
    mdns: { mode: "minimal" },
  },
}
  3. Plugin은 활성화한 채 로컬 기기 검색을 억제하려면 mDNS 모드를 비활성화하세요. 
    {
  discovery: {
    mdns: { mode: "off" },
  },
}
  4. 전체 모드(옵트인): TXT 레코드에 cliPath + sshPort를 포함합니다. 
    {
  discovery: {
    mdns: { mode: "full" },
  },
}
  5. 환경 변수(대안): 구성 변경 없이 mDNS를 비활성화하려면 OPENCLAW_DISABLE_BONJOUR=1을 설정하세요.
Bonjour가 최소 모드로 활성화되면 Gateway는 기기 검색에 충분한 정보(role, gatewayPort, transport)를 브로드캐스트하지만 cliPathsshPort는 생략합니다. CLI 경로 정보가 필요한 앱은 대신 인증된 WebSocket 연결을 통해 가져올 수 있습니다.

Gateway WebSocket 잠그기(로컬 인증)

Gateway 인증은 기본적으로 필수입니다. 유효한 Gateway 인증 경로가 구성되어 있지 않으면 Gateway는 WebSocket 연결을 거부합니다(fail-closed). 온보딩은 기본적으로 토큰을 생성하므로(local loopback의 경우에도) 로컬 클라이언트는 인증해야 합니다. 모든 WS 클라이언트가 인증하도록 토큰을 설정하세요. 
{
  gateway: {
    auth: { mode: "token", token: "your-token" },
  },
}
Doctor가 대신 생성할 수 있습니다: openclaw doctor --generate-gateway-token.
gateway.remote.tokengateway.remote.password는 클라이언트 자격 증명 소스입니다. 이 값만으로는 로컬 WS 접근을 보호하지 않습니다. 로컬 호출 경로는 gateway.auth.*가 설정되지 않은 경우에만 gateway.remote.*를 대체 수단으로 사용할 수 있습니다. gateway.auth.token 또는 gateway.auth.password가 SecretRef를 통해 명시적으로 구성되었지만 확인되지 않으면, 확인은 fail-closed로 실패합니다(원격 대체 수단으로 가려지지 않음).
선택 사항: wss://를 사용할 때 gateway.remote.tlsFingerprint로 원격 TLS를 고정하세요. 평문 ws://는 기본적으로 loopback 전용입니다. 신뢰할 수 있는 사설 네트워크 경로의 경우 클라이언트 프로세스에서 비상 우회로 OPENCLAW_ALLOW_INSECURE_PRIVATE_WS=1을 설정하세요. 이는 의도적으로 프로세스 환경 전용이며 openclaw.json 구성 키가 아닙니다. 모바일 페어링 및 Android 수동 또는 스캔된 Gateway 경로는 더 엄격합니다. cleartext는 loopback에 허용되지만, 사설 LAN, link-local, .local, 그리고 점이 없는 호스트 이름은 신뢰할 수 있는 사설 네트워크 cleartext 경로에 명시적으로 옵트인하지 않는 한 TLS를 사용해야 합니다. 로컬 기기 페어링:
  • 동일 호스트 클라이언트가 매끄럽게 동작하도록 직접 local loopback 연결에 대한 기기 페어링은 자동 승인됩니다.
  • OpenClaw에는 신뢰할 수 있는 공유 시크릿 도우미 흐름을 위한 좁은 backend/container-local 자체 연결 경로도 있습니다.
  • 동일 호스트 tailnet 바인드를 포함한 Tailnet 및 LAN 연결은 페어링에서 원격으로 취급되며 여전히 승인이 필요합니다.
  • loopback 요청의 전달된 헤더 증거는 loopback 지역성을 무효화합니다. 메타데이터 업그레이드 자동 승인은 좁은 범위로 제한됩니다. 두 규칙은 Gateway 페어링을 참고하세요.
인증 모드:
  • gateway.auth.mode: "token": 공유 bearer 토큰(대부분의 설정에 권장).
  • gateway.auth.mode: "password": 비밀번호 인증(env를 통해 설정하는 것을 권장: OPENCLAW_GATEWAY_PASSWORD).
  • gateway.auth.mode: "trusted-proxy": ID 인식 리버스 프록시가 사용자를 인증하고 헤더를 통해 ID를 전달하도록 신뢰합니다(신뢰할 수 있는 프록시 인증 참고).
교체 체크리스트(토큰/비밀번호):
  1. 새 시크릿을 생성/설정합니다(gateway.auth.token 또는 OPENCLAW_GATEWAY_PASSWORD).
  2. Gateway를 다시 시작합니다(또는 macOS 앱이 Gateway를 감독하는 경우 macOS 앱을 다시 시작).
  3. 원격 클라이언트를 업데이트합니다(Gateway를 호출하는 머신의 gateway.remote.token / .password).
  4. 이전 자격 증명으로 더 이상 연결할 수 없는지 확인합니다.

Tailscale Serve ID 헤더

gateway.auth.allowTailscaletrue이면(Serve의 기본값), OpenClaw는 Control UI/WebSocket 인증에 Tailscale Serve ID 헤더(tailscale-user-login)를 허용합니다. OpenClaw는 로컬 Tailscale 데몬(tailscale whois)을 통해 x-forwarded-for 주소를 확인하고 이를 헤더와 일치시켜 ID를 검증합니다. 이는 요청이 loopback에 도달하고 Tailscale이 주입한 x-forwarded-for, x-forwarded-proto, x-forwarded-host를 포함할 때만 트리거됩니다. 이 비동기 ID 확인 경로에서는 동일한 {scope, ip}에 대한 실패 시도가 리미터가 실패를 기록하기 전에 직렬화됩니다. 따라서 한 Serve 클라이언트에서 동시에 발생한 잘못된 재시도는 두 개의 단순 불일치로 경합하지 않고 두 번째 시도를 즉시 잠글 수 있습니다. HTTP API 엔드포인트(예: /v1/*, /tools/invoke, /api/channels/*)는 Tailscale ID 헤더 인증을 사용하지 않습니다. 이들은 여전히 Gateway의 구성된 HTTP 인증 모드를 따릅니다. 중요한 경계 참고:
  • Gateway HTTP bearer 인증은 사실상 전부 아니면 전무인 운영자 접근 권한입니다.
  • /v1/chat/completions, /v1/responses 또는 /api/channels/*를 호출할 수 있는 자격 증명은 해당 Gateway에 대한 전체 접근 운영자 시크릿으로 취급하세요.
  • OpenAI 호환 HTTP 표면에서 공유 시크릿 bearer 인증은 전체 기본 운영자 범위(operator.admin, operator.approvals, operator.pairing, operator.read, operator.talk.secrets, operator.write)와 에이전트 턴의 소유자 의미 체계를 복원합니다. 더 좁은 x-openclaw-scopes 값은 해당 공유 시크릿 경로를 축소하지 않습니다.
  • HTTP의 요청별 범위 의미 체계는 요청이 신뢰할 수 있는 프록시 인증 또는 사설 ingress의 gateway.auth.mode="none"처럼 ID를 포함하는 모드에서 온 경우에만 적용됩니다.
  • 이러한 ID 포함 모드에서 x-openclaw-scopes를 생략하면 일반 운영자 기본 범위 집합으로 대체됩니다. 더 좁은 범위 집합을 원하면 헤더를 명시적으로 보내세요.
  • /tools/invoke도 동일한 공유 시크릿 규칙을 따릅니다. 토큰/비밀번호 bearer 인증은 여기서도 전체 운영자 접근으로 취급되며, ID 포함 모드는 여전히 선언된 범위를 따릅니다.
  • 이러한 자격 증명을 신뢰할 수 없는 호출자와 공유하지 마세요. 신뢰 경계별로 별도의 Gateway를 사용하는 것을 권장합니다.
신뢰 가정: 토큰 없는 Serve 인증은 Gateway 호스트가 신뢰할 수 있다고 가정합니다. 이를 적대적인 동일 호스트 프로세스로부터 보호하는 수단으로 취급하지 마세요. 신뢰할 수 없는 로컬 코드가 Gateway 호스트에서 실행될 수 있다면 gateway.auth.allowTailscale을 비활성화하고 gateway.auth.mode: "token" 또는 "password"로 명시적인 공유 시크릿 인증을 요구하세요. 보안 규칙: 자체 리버스 프록시에서 이러한 헤더를 전달하지 마세요. Gateway 앞에서 TLS를 종료하거나 프록시하는 경우 gateway.auth.allowTailscale을 비활성화하고 대신 공유 시크릿 인증(gateway.auth.mode: "token" 또는 "password")이나 신뢰할 수 있는 프록시 인증을 사용하세요. 신뢰할 수 있는 프록시:
  • Gateway 앞에서 TLS를 종료하는 경우 gateway.trustedProxies를 프록시 IP로 설정하세요.
  • OpenClaw는 해당 IP에서 온 x-forwarded-for(또는 x-real-ip)를 신뢰하여 로컬 페어링 검사와 HTTP 인증/로컬 검사에 사용할 클라이언트 IP를 결정합니다.
  • 프록시가 x-forwarded-for덮어쓰고 Gateway 포트로의 직접 접근을 차단하는지 확인하세요.
Tailscale웹 개요를 참고하세요.

Node 호스트를 통한 브라우저 제어(권장)

Gateway가 원격에 있지만 브라우저가 다른 머신에서 실행되는 경우, 브라우저 머신에서 Node 호스트를 실행하고 Gateway가 브라우저 작업을 프록시하도록 하세요(브라우저 도구 참고). Node 페어링은 관리자 접근처럼 취급하세요. 권장 패턴:
  • Gateway와 Node 호스트를 동일한 tailnet(Tailscale)에 유지하세요.
  • Node를 의도적으로 페어링하세요. 필요하지 않다면 브라우저 프록시 라우팅을 비활성화하세요.
피해야 할 사항:
  • LAN 또는 공용 인터넷을 통해 relay/control 포트를 노출.
  • 브라우저 제어 엔드포인트에 Tailscale Funnel 사용(공개 노출).

디스크의 시크릿

~/.openclaw/(또는 $OPENCLAW_STATE_DIR/) 아래의 모든 항목에는 시크릿 또는 비공개 데이터가 포함될 수 있다고 가정하세요.
  • openclaw.json: 구성에 토큰(Gateway, 원격 Gateway), 제공자 설정, allowlist가 포함될 수 있습니다.
  • credentials/**: 채널 자격 증명(예: WhatsApp 자격 증명), 페어링 allowlist, 레거시 OAuth 가져오기.
  • agents/<agentId>/agent/auth-profiles.json: API 키, 토큰 프로필, OAuth 토큰, 선택적 keyRef/tokenRef.
  • agents/<agentId>/agent/codex-home/**: 에이전트별 Codex 앱 서버 계정, 구성, Skills, plugins, 네이티브 스레드 상태 및 진단.
  • secrets.json(선택 사항): file SecretRef 제공자(secrets.providers)가 사용하는 파일 기반 시크릿 페이로드.
  • agents/<agentId>/agent/auth.json: 레거시 호환 파일. 정적 api_key 항목은 발견되면 제거됩니다.
  • agents/<agentId>/sessions/**: 비공개 메시지와 도구 출력을 포함할 수 있는 세션 트랜스크립트(*.jsonl) + 라우팅 메타데이터(sessions.json).
  • 번들 Plugin 패키지: 설치된 plugins(및 해당 node_modules/).
  • sandboxes/**: 도구 샌드박스 워크스페이스. 샌드박스 안에서 읽거나 쓴 파일의 복사본이 누적될 수 있습니다.
강화 팁:
  • 권한을 엄격하게 유지하세요(디렉터리는 700, 파일은 600).
  • Gateway 호스트에서 전체 디스크 암호화를 사용하세요.
  • 호스트가 공유되는 경우 Gateway 전용 OS 사용자 계정을 사용하는 것을 권장합니다.

워크스페이스 .env 파일

OpenClaw는 에이전트와 도구를 위해 워크스페이스 로컬 .env 파일을 로드하지만, 해당 파일이 Gateway 런타임 제어를 조용히 덮어쓰도록 허용하지 않습니다.
  • OPENCLAW_*로 시작하는 모든 키는 신뢰할 수 없는 워크스페이스 .env 파일에서 차단됩니다.
  • Matrix, Mattermost, IRC, Synology Chat의 채널 엔드포인트 설정도 워크스페이스 .env 덮어쓰기에서 차단되므로, 복제된 워크스페이스가 로컬 엔드포인트 구성을 통해 번들 커넥터 트래픽을 리디렉션할 수 없습니다. 엔드포인트 env 키(예: MATRIX_HOMESERVER, MATTERMOST_URL, IRC_HOST, SYNOLOGY_CHAT_INCOMING_URL)는 워크스페이스에서 로드된 .env가 아니라 Gateway 프로세스 환경 또는 env.shellEnv에서 와야 합니다.
  • 차단은 fail-closed입니다. 향후 릴리스에서 새 런타임 제어 변수가 추가되어도 체크인되었거나 공격자가 제공한 .env에서 상속될 수 없습니다. 키는 무시되고 Gateway는 자체 값을 유지합니다.
  • 신뢰할 수 있는 프로세스/OS 환경 변수(Gateway 자체 shell, launchd/systemd 유닛, 앱 번들)는 계속 적용됩니다. 이는 .env 파일 로딩만 제한합니다.
이유: 워크스페이스 .env 파일은 에이전트 코드 옆에 있는 경우가 많고, 실수로 커밋되거나 도구가 작성하기도 합니다. 전체 OPENCLAW_* 접두사를 차단하면 나중에 새 OPENCLAW_* 플래그를 추가하더라도 워크스페이스 상태에서 조용히 상속되는 회귀가 절대 발생하지 않습니다.

로그 및 트랜스크립트(수정 및 보존)

접근 제어가 올바르더라도 로그와 트랜스크립트는 민감한 정보를 유출할 수 있습니다.
  • Gateway 로그에는 도구 요약, 오류, URL이 포함될 수 있습니다.
  • 세션 트랜스크립트에는 붙여넣은 시크릿, 파일 내용, 명령 출력, 링크가 포함될 수 있습니다.
권장 사항:
  • 로그 및 트랜스크립트 수정을 켜 둡니다(logging.redactSensitive: "tools"; 기본값).
  • logging.redactPatterns를 통해 환경별 사용자 지정 패턴(토큰, 호스트 이름, 내부 URL)을 추가하세요.
  • 진단을 공유할 때는 원시 로그보다 openclaw status --all(붙여넣기 가능, 시크릿 수정됨)을 권장합니다.
  • 긴 보존 기간이 필요하지 않다면 오래된 세션 트랜스크립트와 로그 파일을 정리하세요.
세부 정보: 로깅

DM: 기본적으로 페어링

{
  channels: { whatsapp: { dmPolicy: "pairing" } },
}

그룹: 모든 곳에서 멘션 요구

{
  "channels": {
    "whatsapp": {
      "groups": {
        "*": { "requireMention": true }
      }
    }
  },
  "agents": {
    "list": [
      {
        "id": "main",
        "groupChat": { "mentionPatterns": ["@openclaw", "@mybot"] }
      }
    ]
  }
}
그룹 채팅에서는 명시적으로 멘션된 경우에만 응답합니다.

별도 번호(WhatsApp, Signal, Telegram)

전화번호 기반 채널의 경우 개인 번호와 별도의 전화번호에서 AI를 실행하는 것을 고려하세요.
  • 개인 번호: 대화가 비공개로 유지됩니다
  • 봇 번호: 적절한 경계 내에서 AI가 이를 처리합니다

읽기 전용 모드(샌드박스 및 도구 사용)

다음을 조합하여 읽기 전용 프로필을 만들 수 있습니다.
  • agents.defaults.sandbox.workspaceAccess: "ro"(또는 워크스페이스 접근을 완전히 차단하려면 "none")
  • write, edit, apply_patch, exec, process 등을 차단하는 도구 허용/거부 목록
추가 강화 옵션:
  • tools.exec.applyPatch.workspaceOnly: true(기본값): 샌드박싱이 꺼져 있어도 apply_patch가 워크스페이스 디렉터리 밖에 쓰기/삭제를 할 수 없도록 보장합니다. apply_patch가 워크스페이스 밖의 파일을 건드리도록 의도한 경우에만 false로 설정하세요.
  • tools.fs.workspaceOnly: true(선택 사항): read/write/edit/apply_patch 경로와 네이티브 프롬프트 이미지 자동 로드 경로를 워크스페이스 디렉터리로 제한합니다. 현재 절대 경로를 허용하고 있으며 단일 보호 장치를 원할 때 유용합니다.
  • 파일 시스템 루트는 좁게 유지하세요. 에이전트 워크스페이스/샌드박스 워크스페이스에 홈 디렉터리처럼 넓은 루트를 사용하지 마세요. 넓은 루트는 민감한 로컬 파일(예: ~/.openclaw 아래의 상태/설정)을 파일 시스템 도구에 노출할 수 있습니다.

보안 기준 구성(복사/붙여넣기)

Gateway를 비공개로 유지하고, DM 페어링을 요구하며, 항상 켜져 있는 그룹 봇을 피하는 “안전한 기본값” 구성 예시입니다. 
{
  gateway: {
    mode: "local",
    bind: "loopback",
    port: 18789,
    auth: { mode: "token", token: "your-long-random-token" },
  },
  channels: {
    whatsapp: {
      dmPolicy: "pairing",
      groups: { "*": { requireMention: true } },
    },
  },
}
도구 실행도 “기본적으로 더 안전하게” 만들려면 비소유자 에이전트에 대해 샌드박스와 위험한 도구 거부 설정을 추가하세요. 예시는 아래 “에이전트별 접근 프로필”을 참고하세요. 채팅 기반 에이전트 턴의 내장 기준: 비소유자 발신자는 cron 또는 gateway 도구를 사용할 수 없습니다.

샌드박싱(권장)

전용 문서: 샌드박싱 두 가지 상호 보완적인 접근 방식:
  • 전체 Gateway를 Docker에서 실행(컨테이너 경계): Docker
  • 도구 샌드박스(agents.defaults.sandbox, 호스트 Gateway + 샌드박스로 격리된 도구, Docker가 기본 백엔드): 샌드박싱
에이전트 간 접근을 방지하려면 agents.defaults.sandbox.scope"agent"(기본값)로 유지하거나, 세션별로 더 엄격히 격리하려면 "session"으로 설정하세요. scope: "shared"는 단일 컨테이너 또는 워크스페이스를 사용합니다.
샌드박스 내부의 에이전트 워크스페이스 접근도 고려하세요.
  • agents.defaults.sandbox.workspaceAccess: "none"(기본값)은 에이전트 워크스페이스를 접근 불가로 유지합니다. 도구는 ~/.openclaw/sandboxes 아래의 샌드박스 워크스페이스를 대상으로 실행됩니다
  • agents.defaults.sandbox.workspaceAccess: "ro"는 에이전트 워크스페이스를 /agent에 읽기 전용으로 마운트합니다(write/edit/apply_patch 비활성화)
  • agents.defaults.sandbox.workspaceAccess: "rw"는 에이전트 워크스페이스를 /workspace에 읽기/쓰기 가능으로 마운트합니다
  • 추가 sandbox.docker.binds는 정규화되고 표준화된 소스 경로를 기준으로 검증됩니다. 부모 심볼릭 링크 우회나 표준 홈 별칭도 /etc, /var/run 또는 OS 홈 아래의 자격 증명 디렉터리처럼 차단된 루트로 해석되면 안전하게 실패합니다.
tools.elevated는 샌드박스 밖에서 exec를 실행하는 전역 기준 탈출구입니다. 유효 호스트는 기본적으로 gateway이며, exec 대상이 node로 구성된 경우에는 node입니다. tools.elevated.allowFrom을 엄격하게 유지하고 낯선 사람에게는 활성화하지 마세요. agents.list[].tools.elevated를 통해 에이전트별로 Elevated를 더 제한할 수 있습니다. Elevated 모드를 참고하세요.

하위 에이전트 위임 보호 장치

세션 도구를 허용하는 경우, 위임된 하위 에이전트 실행도 또 다른 경계 결정으로 취급하세요.
  • 에이전트에 위임이 정말 필요한 경우가 아니라면 sessions_spawn을 거부하세요.
  • agents.defaults.subagents.allowAgents와 에이전트별 agents.list[].subagents.allowAgents 재정의는 알려진 안전한 대상 에이전트로 제한하세요.
  • 샌드박스 상태를 유지해야 하는 워크플로에서는 sessions_spawnsandbox: "require"로 호출하세요(기본값은 inherit).
  • 대상 자식 런타임이 샌드박스화되어 있지 않으면 sandbox: "require"는 빠르게 실패합니다.

브라우저 제어 위험

브라우저 제어를 활성화하면 모델이 실제 브라우저를 조작할 수 있습니다. 해당 브라우저 프로필에 이미 로그인된 세션이 있으면 모델이 그 계정과 데이터에 접근할 수 있습니다. 브라우저 프로필은 민감한 상태로 취급하세요.
  • 에이전트 전용 프로필(기본 openclaw 프로필)을 사용하는 것이 좋습니다.
  • 에이전트를 개인용 일상 브라우저 프로필에 연결하지 마세요.
  • 신뢰하지 않는 한 샌드박스화된 에이전트에는 호스트 브라우저 제어를 비활성화해 두세요.
  • 독립 실행형 루프백 브라우저 제어 API는 공유 비밀 인증만 인정합니다 (Gateway 토큰 베어러 인증 또는 Gateway 비밀번호). 신뢰된 프록시 또는 Tailscale Serve ID 헤더는 사용하지 않습니다.
  • 브라우저 다운로드는 신뢰할 수 없는 입력으로 취급하세요. 격리된 다운로드 디렉터리를 사용하는 것이 좋습니다.
  • 가능하면 에이전트 프로필에서 브라우저 동기화/비밀번호 관리자를 비활성화하세요(영향 범위를 줄입니다).
  • 원격 Gateway의 경우 “브라우저 제어”는 해당 프로필이 도달할 수 있는 모든 것에 대한 “운영자 접근”과 같다고 간주하세요.
  • Gateway와 Node 호스트는 tailnet 전용으로 유지하세요. 브라우저 제어 포트를 LAN 또는 공용 인터넷에 노출하지 마세요.
  • 필요하지 않을 때는 브라우저 프록시 라우팅을 비활성화하세요(gateway.nodes.browser.mode="off").
  • Chrome MCP 기존 세션 모드는 “더 안전”하지 않습니다. 해당 호스트의 Chrome 프로필이 도달할 수 있는 모든 곳에서 사용자처럼 동작할 수 있습니다.

브라우저 SSRF 정책(기본적으로 엄격)

OpenClaw의 브라우저 탐색 정책은 기본적으로 엄격합니다. 명시적으로 옵트인하지 않는 한 비공개/내부 대상은 계속 차단됩니다.
  • 기본값: browser.ssrfPolicy.dangerouslyAllowPrivateNetwork는 설정되어 있지 않으므로 브라우저 탐색은 비공개/내부/특수 용도 대상을 계속 차단합니다.
  • 레거시 별칭: browser.ssrfPolicy.allowPrivateNetwork는 호환성을 위해 계속 허용됩니다.
  • 옵트인 모드: 비공개/내부/특수 용도 대상을 허용하려면 browser.ssrfPolicy.dangerouslyAllowPrivateNetwork: true를 설정하세요.
  • 엄격 모드에서는 명시적 예외에 hostnameAllowlist(*.example.com 같은 패턴)와 allowedHostnames(localhost처럼 차단된 이름을 포함한 정확한 호스트 예외)를 사용하세요.
  • 리디렉션 기반 우회를 줄이기 위해 요청 전에 탐색을 검사하고, 탐색 후 최종 http(s) URL에서 최선 노력으로 다시 검사합니다.
엄격 정책 예시: 
{
  browser: {
    ssrfPolicy: {
      dangerouslyAllowPrivateNetwork: false,
      hostnameAllowlist: ["*.example.com", "example.com"],
      allowedHostnames: ["localhost"],
    },
  },
}

에이전트별 접근 프로필(다중 에이전트)

다중 에이전트 라우팅을 사용하면 각 에이전트가 자체 샌드박스와 도구 정책을 가질 수 있습니다. 이를 사용해 에이전트별로 전체 접근, 읽기 전용 또는 접근 없음을 부여하세요. 전체 세부 정보와 우선순위 규칙은 다중 에이전트 샌드박스 및 도구를 참고하세요. 일반적인 사용 사례:
  • 개인 에이전트: 전체 접근, 샌드박스 없음
  • 가족/업무 에이전트: 샌드박스화 + 읽기 전용 도구
  • 공개 에이전트: 샌드박스화 + 파일 시스템/셸 도구 없음

예시: 전체 접근(샌드박스 없음)

{
  agents: {
    list: [
      {
        id: "personal",
        workspace: "~/.openclaw/workspace-personal",
        sandbox: { mode: "off" },
      },
    ],
  },
}

예시: 읽기 전용 도구 + 읽기 전용 워크스페이스

{
  agents: {
    list: [
      {
        id: "family",
        workspace: "~/.openclaw/workspace-family",
        sandbox: {
          mode: "all",
          scope: "agent",
          workspaceAccess: "ro",
        },
        tools: {
          allow: ["read"],
          deny: ["write", "edit", "apply_patch", "exec", "process", "browser"],
        },
      },
    ],
  },
}

예시: 파일 시스템/셸 접근 없음(제공자 메시징 허용)

{
  agents: {
    list: [
      {
        id: "public",
        workspace: "~/.openclaw/workspace-public",
        sandbox: {
          mode: "all",
          scope: "agent",
          workspaceAccess: "none",
        },
        // Session tools can reveal sensitive data from transcripts. By default OpenClaw limits these tools
        // to the current session + spawned subagent sessions, but you can clamp further if needed.
        // See `tools.sessions.visibility` in the configuration reference.
        tools: {
          sessions: { visibility: "tree" }, // self | tree | agent | all
          allow: [
            "sessions_list",
            "sessions_history",
            "sessions_send",
            "sessions_spawn",
            "session_status",
            "whatsapp",
            "telegram",
            "slack",
            "discord",
          ],
          deny: [
            "read",
            "write",
            "edit",
            "apply_patch",
            "exec",
            "process",
            "browser",
            "canvas",
            "nodes",
            "cron",
            "gateway",
            "image",
          ],
        },
      },
    ],
  },
}

사고 대응

AI가 나쁜 행동을 한 경우:

격리

  1. 중지: macOS 앱이 Gateway를 감독하는 경우 앱을 중지하거나 openclaw gateway 프로세스를 종료하세요.
  2. 노출 차단: 무슨 일이 있었는지 파악할 때까지 gateway.bind: "loopback"으로 설정하거나 Tailscale Funnel/Serve를 비활성화하세요.
  3. 접근 동결: 위험한 DM/그룹을 dmPolicy: "disabled"로 전환하거나 멘션을 요구하고, "*" 전체 허용 항목이 있었다면 제거하세요.

교체(비밀이 유출되었다면 침해로 간주)

  1. Gateway 인증(gateway.auth.token / OPENCLAW_GATEWAY_PASSWORD)을 교체하고 재시작하세요.
  2. Gateway를 호출할 수 있는 모든 머신에서 원격 클라이언트 비밀(gateway.remote.token / .password)을 교체하세요.
  3. 제공자/API 자격 증명(WhatsApp 자격 증명, Slack/Discord 토큰, auth-profiles.json의 모델/API 키, 사용 중인 암호화된 비밀 페이로드 값)을 교체하세요.

감사

  1. Gateway 로그를 확인하세요: /tmp/openclaw/openclaw-YYYY-MM-DD.log(또는 logging.file).
  2. 관련 트랜스크립트를 검토하세요: ~/.openclaw/agents/<agentId>/sessions/*.jsonl.
  3. 최근 구성 변경을 검토하세요(접근 범위를 넓혔을 수 있는 모든 것: gateway.bind, gateway.auth, DM/그룹 정책, tools.elevated, Plugin 변경).
  4. openclaw security audit --deep를 다시 실행하고 중요한 발견 사항이 해결되었는지 확인하세요.

보고서용 수집 항목

  • 타임스탬프, Gateway 호스트 OS + OpenClaw 버전
  • 세션 트랜스크립트 + 짧은 로그 끝부분(민감 정보 삭제 후)
  • 공격자가 보낸 내용 + 에이전트가 수행한 내용
  • Gateway가 루프백을 넘어 노출되었는지 여부(LAN/Tailscale Funnel/Serve)

비밀 스캔

CI는 저장소 전체에 대해 pre-commit detect-private-key 훅을 실행합니다. 실패하면 커밋된 키 자료를 제거하거나 교체한 다음 로컬에서 재현하세요. 
pre-commit run --all-files detect-private-key

보안 문제 보고

OpenClaw에서 취약점을 발견했나요? 책임감 있게 보고해 주세요.
  1. 이메일: security@openclaw.ai
  2. 수정될 때까지 공개적으로 게시하지 마세요
  3. 원하시면 기여자로 표기해 드립니다(익명을 원하시는 경우 제외)