# OpenClaw 권한 상승 취약점 (CVE-2026-33579) > Clean Markdown view of GeekNews topic #28201. Use the original source for factual precision when an external source URL is present. ## Metadata - GeekNews HTML: [https://news.hada.io/topic?id=28201](https://news.hada.io/topic?id=28201) - GeekNews Markdown: [https://news.hada.io/topic/28201.md](https://news.hada.io/topic/28201.md) - Type: GN+ - Author: [neo](https://news.hada.io/@neo) - Published: 2026-04-04T23:32:40+09:00 - Updated: 2026-04-04T23:32:40+09:00 - Original source: [nvd.nist.gov](https://nvd.nist.gov/vuln/detail/CVE-2026-33579) - Points: 3 - Comments: 1 ## Topic Body - OpenClaw 2026.3.28 이전 버전에서 **비관리자 사용자가 관리자 권한 요청을 승인할 수 있는 권한 상승 취약점**이 발견됨 - `/pair approve` 명령에서 **scope 전달 누락**으로 인해 승인 검증이 제대로 수행되지 않아 **잘못된 권한 검증(CWE-863)** 문제가 발생함 - 이 취약점은 **CVSS v4.0 기준 8.6점**, **v3.1 기준 8.1점**으로 모두 **높은 심각도(HIGH)** 로 평가됨 - 취약한 코드는 `extensions/device-pair/index.ts`와 `src/infra/device-pairing.ts`에 존재하며, **2026.3.28 버전에서 수정됨** - 사용자와 관리자는 **패치 버전으로 업데이트**하고, **GitHub 보안 권고(GHSA-hc5h-pmr3-3497)** 를 참고해야 함 --- ### 취약점 개요 - **OpenClaw 2026.3.28 이전 버전**에서 **권한 상승 취약점**이 존재함 - `/pair approve` 명령 경로에서 호출자의 **scope 전달이 누락**되어 승인 검증이 제대로 수행되지 않음 - **페어링 권한만 가진 사용자**가 관리자 권한 없이도 **관리자 접근 권한을 포함한 장치 요청을 승인**할 수 있음 - 취약한 코드 위치는 `extensions/device-pair/index.ts` 및 `src/infra/device-pairing.ts`로 확인됨 ### 영향 및 심각도 - ## CVSS v4.0 기준 8.6점 (HIGH) - 벡터: `AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N` - ## CVSS v3.1 기준 8.1점 (HIGH) - 벡터: `AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N` - **CWE-863 (Incorrect Authorization)** 으로 분류됨 - 잘못된 권한 검증으로 인해 비관리자 사용자가 관리자 수준 작업을 수행할 수 있는 문제 ### 영향받는 소프트웨어 - **OpenClaw Node.js 버전** 중 **2026.3.28 이전 버전**이 취약함 - CPE 식별자: `cpe:2.3:a:openclaw:openclaw:*:*:*:*:*:node.js:*:*` - 이후 버전에서 문제 수정 완료 ### 수정 및 권장 조치 - **패치 커밋:** [e403decb6e20091b5402780a7ccd2085f98aa3cd](https://github.com/openclaw/openclaw/commit/e403decb6e20091b5402780a7ccd2085f98aa3cd) - **보안 권고:** [GHSA-hc5h-pmr3-3497](https://github.com/openclaw/openclaw/security/advisories/GHSA-hc5h-pmr3-3497) - **추가 분석:** [VulnCheck Advisory](https://www.vulncheck.com/advisories/openclaw-privilege-escalation-via-missing-caller-scope-validation-in-device-pair-approval) - **2026.3.28 이상 버전으로 업데이트 필요** ### 변경 이력 - **2026-03-31:** VulnCheck에서 신규 CVE 등록 및 CVSS 정보 추가 - **2026-04-01:** NIST에서 초기 분석 및 CPE 구성 추가 - 주요 변경 내역 - CVSS v3.1 벡터 수정 - CWE-863 추가 - GitHub 패치 및 권고 링크 등록 ### 출처 및 관리 정보 - **CVE ID:** [CVE-2026-33579](https://cve.org/CVERecord?id=CVE-2026-33579) - **발행 기관:** NIST National Vulnerability Database (NVD) - **등록 출처:** VulnCheck - **최초 게시일:** 2026년 3월 31일 - **최종 수정일:** 2026년 4월 1일 ## Comments ### Comment 54647 - Author: neo - Created: 2026-04-04T23:32:40+09:00 - Points: 1 ###### [Hacker News 의견들](https://news.ycombinator.com/item?id=47628608) - OpenClaw의 제작자임 이번 문제는 **권한 상승 버그**였지만, “아무 텔레그램/디스코드 메시지로 모든 인스턴스를 장악할 수 있다” 수준은 아니었음 원인은 불완전한 수정이었고, `/pair approve` 플러그인 명령 경로가 `callerScopes` 없이 승인 함수를 호출하면서 **scope-ceiling 우회**가 가능했음 즉, 이미 게이트웨이 접근 권한이 있는 클라이언트가 `/pair approve latest` 명령으로 더 넓은 권한(예: `operator.admin`)을 승인할 수 있었음 이건 텔레그램이나 메시지 제공자 특유의 문제는 아니고, 플러그인 명령 처리기 공통 로직의 취약점이었음 텔레그램의 경우 기본 DM 정책이 외부인을 차단하므로 “메시지 한 번으로 관리자 권한 획득”은 불가능했음 개인 비서용으로 사용하는 한 **실질적 위험은 매우 낮음**, 현재 Nvidia, ByteDance, Tencent, OpenAI의 엔지니어들과 함께 코드베이스를 강화 중임 - OP의 통계에 대해 더 설명해줄 수 있는지 궁금함 “135k개 이상의 OpenClaw 인스턴스가 공개되어 있고, 그중 63%가 인증 없이 실행 중이라 누구나 페어링 요청을 보낼 수 있다”는 말이 사실인지 확인하고 싶음 이게 사실이라면 작성자가 말한 위험도와는 완전히 다른 그림임 - “Nvidia, ByteDance, Tencent, OpenAI와 함께 작업 중”이라는 말이 구체적으로 무슨 의미인지 궁금함 이들과 계약이 있는 것인지, 아니면 단순히 그 회사 직원들이 오픈소스 기여를 한 것인지 알고 싶음 - “Nvidia, ByteDance, Tencent, OpenAI? 와우!” 이런 대형 기업들이 함께한다니 놀라움 - “코딩은 이미 해결된 문제 아닌가?”라며 농담 섞인 반응을 보임 “그냥 Claude Code에 ‘보안 강화해줘’라고 프롬프트 넣으면 되지 않냐”는 식의 **AI 풍자**를 덧붙임 - [days-since-openclaw-cve.com](https://days-since-openclaw-cve.com/) 링크를 공유함 OpenClaw 출시 이후 하루 평균 **1.8개의 CVE**가 보고되고 있다고 함 - 그 수치가 정말 끔찍하다고 느껴짐 물론 OpenClaw처럼 주목받는 프로젝트라면 취약점이 더 많이 발견될 수도 있겠지만, “하루 1.8개”는 상식적으로 너무 많음 이 정도면 합리적인 사람이라면 그 소프트웨어를 피해야 하지 않을까 하는 의문을 제기함 - 원문이 삭제된 Reddit 게시글의 [보존본 링크](https://web.archive.org/web/20260403163241/https://old.reddi...)를 공유함 - 아마 **AI 스팸**으로 판단되어 삭제된 듯함 작성자의 다른 글들도 전부 AI 프로젝트 광고였다고 함 - “그 링크를 상단 텍스트에 추가하겠다”고 언급함 - 나는 OpenClaw를 쓰지 않지만, **Claude Code**와 **Codex**를 제한된 macOS 사용자 계정으로 실행함 `become-agent [cmd ...]` 스크립트를 통해 sudo로 제한 계정에서 실행해 내 환경 변수나 디렉터리에 접근하지 못하게 함 이렇게 하면 완전한 sandbox-exec보다는 덜 복잡하면서도 안전함 유닉스 시스템은 원래 이런 **멀티유저 격리 구조**에 강함 - 나는 커널 수준의 **sandboxing**이 중요하다고 생각함 greywall이라는 도구를 써서 파일시스템과 네트워크를 syscall 단위로 격리함 (Landlock + Seccomp + eBPF 기반) 다만 “유닉스가 이런 에이전트 실행을 위해 설계된 건 아니다”라는 점에는 동의하지 않음 - Apple의 오픈소스 컨테이너 도구를 쓰면 루트 권한 없이 **100ms 내에 리눅스 VM**을 띄울 수 있음 Apple Virtualization Framework로는 별도 Apple ID를 가진 macOS VM도 실행 가능함 - 아직도 사람들이 OpenClaw를 쓴다는 게 놀라움 다들 Nanoclaw나 Nemoclaw로 옮겼을 줄 알았는데, 단순한 **관성** 때문인지 궁금함 - 나는 Hermes를 사용 중임 어떤 에이전트든 **sandbox 안에서 실행**해야 함 [Hermes GitHub 링크](https://github.com/nousresearch/hermes-agent) - NemoClaw는 OpenClaw의 **보안 래퍼**일 뿐, 대체품은 아님 - “OpenClaw는 별로지만, 대부분의 사람들은 그걸 모른다”고 직설적으로 말함 - 이런 일은 **예상된 결과**라고 생각함 보안 지식이 부족한 사람들이 인스턴스를 노출하는 건 어리석지만, 동시에 누구나 흥미로운 IT 실험을 할 수 있게 된 건 멋진 일임 결국 **자유와 위험의 균형** 문제임 — 자동차를 직접 고치듯, 재미있지만 잘못하면 큰 사고를 낼 수 있음 요즘 보안·프라이버시·기후변화 모두 하락세지만, 인간은 여전히 “멋진 걸 만들고 싶다”는 욕망을 우선함 - 문제는 이런 위험을 인식조차 못 하는 사람들이 많다는 점임 - “차 예시”처럼, 잘못된 설정이 타인에게도 피해를 줄 수 있음 보안 지식 없는 사용자가 인터넷 전체를 위험에 빠뜨릴 수도 있음 결국 **책임 없는 실험의 대가**를 사회 전체가 치르게 됨 - /r/sysadmin 스레드의 반응이 자신이 겪어온 **전형적인 시스템 관리자들**의 대화와 똑같다고 느낌 - 제목이 다소 **과장된 클릭베이트** 같음 실제로는 OpenClaw가 공개된 서버에서 실행 중일 때만 위험함 50만 개 중 13만 5천 개가 공개 인스턴스라면, 비율상 그렇게 크지 않음 - “5분의 1이면 보안 얘기할 때는 ‘꽤 많다’고 봐야 한다”고 말함 - “25% 이상이면 ‘아마도 그렇다’ 수준은 충분하다”고 덧붙임 - “135k 인스턴스” 수치는 신뢰하기 어렵다고 봄 - “35%의 통계는 만들어진 것”이라는 농담으로 의심을 표현함 - 그래도 65%가 인증 없이 실행 중이라면 위험하긴 함 과장된 제목이라도 **보안 경각심을 높이는 효과**가 있다면 의미 있다고 생각함 - “OpenClaw 인스턴스가 인터넷에 공개되어 있을 때만 위험하다”고 말함 - 하지만 최근까지 **기본 설정이 0.0.0.0 바인딩**이었다고 지적함 라우터가 막아줄 거라 착각한 사용자라면 OpenClaw를 쓰면 안 됨 관련 이슈와 커밋 링크를 공유함 - [이슈 #5263](https://github.com/openclaw/openclaw/issues/5263) - [커밋 5643a934799dc523](https://github.com/openclaw/openclaw/commit/5643a934799dc523) - “기본적으로 관리자 권한이 인터넷에 노출되는 설정은 아니다”라고 주장함