OpenClaw ClawHub 스킬은 '보면 안전한 척'하는 게 아닙니다. 2026년 2월 7일, 이 관계자는 VirusTotal과 파트너십을 맺어 ClawHub에 게시된 스킬 팩을 해시, 업로드, 코드 인사이트 스캔, 매일 재검사하는 파트너십을 발표했습니다. 이는 위험을 줄일 수 있지만, 스킬이 절대적으로 안전하다는 의미는 아닙니다.
어떤 스캔이 차단에 도움이 되는지
- 알려진 악성코드, 트로이 목마, 백도어, 그리고 의심스러운 페이로드.
- 외부 코드 다운로드 및 실행, 민감한 데이터 접근, 비정상적인 네트워크 작업 등 행동 신호가 포함됩니다.
- 변형되었거나 이상 현상에 의존하는 스킬 팩들.
스캔은 아무것도 막을 수 없어
깔끔한 스캔이 위험 요소를 주입하지 않는다는 뜻도 아니고, 스킬 로직이 기대하는 그대로라는 뜻도 아닙니다. 어떤 스킬은 악성 바이너리가 없더라도 여전히 지나치게 큰 파일, 네트워크, 메시지 전송 권한이 필요합니다. 관계자는 또한 깨끗한 스캔은 신호일 뿐, 만능 해결책이 아님을 분명히 상기시켰습니다.
설치 전에 이 세 가지를 살펴보세요
- 출판사가 신뢰할 만한지, 버전 이력이 정상인지 여부입니다.
- 스킬 요청의 권한이 목적과 일치하는지 여부.
- 설치 후 첫 번째 테스트 실행은 격리된 작업 공간에서 진행되며, 실제 계정과 민감한 파일을 직접 제공하지 마세요.
OpenClaw의 경우, 스킬은 본질적으로 에이전트 내에서 실행되는 코드입니다. 일반 프롬프트보다는 브라우저 플러그인이나 커맨드라인 스크립트로 사용하는 것이 훨씬 안전합니다.
공식 오픈 소스 주소: https://github.com/openclaw/openclaw.
설치 후 첫 번째 실행 역시 로그에 따라 달라집니다. 많은 위험은 설치 순간이 아니라 실제로 파일, 네트워크, 메시징 채널에 닿을 때 발생합니다. 먼저 소규모 시험 운행을 한 뒤 권한을 확대하는 것이 더 실용적인 보호 방법입니다. 금융, 메일박스, 클라우드 디스크 기술은 특히 느립니다.
