2026년 ClawHavoc 공급망 공격 이후 많은 팀이 ClawHub에서 서드파티 Skills 설치를 망설이면서도 플러그인 생태계에서 벗어날 수 없습니다. 본 글은 Gateway를 가동 중이며 프로덕션에 ClawHub 스킬을 단계적으로 롤아웃하려는 개발자를 위해, 설치 입문과 역할을 나눈 보안 선정 Runbook을 제공합니다. clawhub inspect 감사, clawhub pin 버전 고정, allowBundled 화이트리스트, 단계적 롤아웃(읽기 전용→쓰기→시스템 호출), 오설치 후 Key 로테이션과 openclaw doctor 검수를 다루며, Gateway 보안 강화 및 MCP 화이트리스트와 연결합니다.
2026년 2월부터 보안 커뮤니티는 OpenClaw 공식 스킬 마켓 ClawHub를 겨냥한 대규모 독살 캠페인 ClawHavoc을 공개했습니다. 공격자는 암호화폐 추적기, YouTube 도구, 생산성 플러그인으로 위장한 악성 Skills를 대량 업로드하고, ClickFix 2.0형 소셜 엔지니어링——SKILL.md의 「사전 설치 요구사항」에서 curl | bash 복붙을 유도——로 API Key와 환경 변수를 탈취하며 macOS 정보 탈취형 멀웨어나 Windows 리버스 셸을 심었습니다. Koi Security 감사에서는 registry 내 약 12% 스킬에 악성 페이로드가 포함된 것으로 보고되었고, 공식은 Phase 2 moderation 다중 신호 중재를 도입했지만 레지스트리 심사는 런타임 거버넌스를 대체할 수 없습니다.
ClawHub를 npm처럼 무차별 설치: Skills는 Gateway 프로세스 권한으로 실행되며, 악성 skill 하나가 모든 Provider Key를 읽을 수 있습니다.
star/다운로드 수만 확인: ClawHavoc 배치는 조작 다운로드와 유명 slug 모방으로 순위를 속였습니다.
SKILL.md 수동 검토 생략: 악성 전제 단계는 「환경 준비」 절에 숨어 일반 문서만큼 눈에 띄지 않습니다.
프로덕션과 실험 workspace 공유: ./skills와 ~/.openclaw/skills를 혼용하면 실험 skill의 쓰기 권한이 프로덕션 Agent를 오염시킵니다.
CVE만 패치하고 스킬 재고조사 생략: CVE-2026-25253 패치 후에도 과거 설치한 악성 skill은 디스크에 남습니다.
MCP 화이트리스트와 단절: Skill이 도입하는 새 도구를 openclaw.json 권한 경계에 포함하지 않으면 exec 승인이 형식화됩니다.
| 출처 | 감사 비용 | 적합 단계 | 주요 위험 |
|---|---|---|---|
| Bundled(npm 동봉) | 낮음;allowBundled 병행 | 프로덕션 베이스라인 | 기능 제한;OpenClaw 릴리스에 따름 |
| 팀 자체 개발 ./skills | 통제 가능;내부 PR | 프로덕션 커스텀 | 유지 비용;pin 필수 |
| ClawHub 고신뢰 skill | 중간;inspect + SKILL.md 수동 확인 | 스테이징 / 읽기 전용 롤아웃 | 작성자 계정 탈취;업데이트 악성 diff |
| ClawHub 신규 / 저 DL | 높음;격리 머신 시험 권장 | 실험 VM만 | ClawHavoc 모방, ClickFix 사회공학 |
| 설치 입문 글과 역할 분담 | — | 최초 onboard | ClawHub 설치 완전 가이드 참조 |
「Registry가 clean」은 해당 시점 스캔 통과를 의미할 뿐입니다. 프로덕션 기준은 누가 설치했는지, 어떤 버전인지, 어떤 Key에 접근하는지, 실패 시 10분 내 롤백 가능한지입니다.
다음 순서는 Gateway가 openclaw onboard --install-daemon으로 상주한다는 전제입니다. Docker 격리 배포는 Compose 프로덕션 볼륨, Linux systemd는 Ubuntu systemd를 참조하세요.
현황 재고조사: openclaw skills list와 clawhub list;slug, 버전, 설치 경로(workspace ./skills vs ~/.openclaw/skills)를 기록합니다.
설치 전 inspect: clawhub search "키워드" → clawhub inspect <slug>;moderation verdict, 작성자 다른 skill 수, changelog 급격한 대규모 변경을 확인합니다.
격리 시험 설치: 비프로덕션 workspace에서 clawhub install <slug>;SKILL.md를 정독하고 공식 도메인이 아닌 「다음 curl/bash 실행으로 의존성 충족」 문단은 거부합니다.
pin 고정 + 읽기 전용 롤아웃: 검수 통과 후 clawhub pin <slug>;Agent에서 쓰기/exec 도구를 비활성화하고 검색류 기능만 검증;exec 승인과 networkPolicy와 병행합니다.
allowBundled 화이트리스트 설정: openclaw.json skills 섹션에서 allowBundled 배열을 설정하고 프로덕션 노드는 목록 내 bundled skill + pin된 ClawHub slug만 허용;그 외 install은 변경 티켓 경유합니다.
doctor 검수와 관측: openclaw doctor --deep;새 session 후 openclaw logs --follow로 skill 로드 이상 없음 확인;MCP 화이트리스트와 도구 레지스트리를 대조합니다.
# 2026 ClawHub 프로덕션 선정 — 감사 → 시험 설치 → pin → 화이트리스트 openclaw skills list clawhub list clawhub search "summarize" clawhub inspect summarize-web --version latest # 격리 workspace 시험 설치(예) cd ~/openclaw-staging && clawhub install summarize-web grep -R "curl\|bash\|wget" skills/*/SKILL.md clawhub pin summarize-web openclaw config set skills.allowBundled '["memory-core","summarize-web"]' openclaw gateway restart openclaw doctor --deep
팁: clawhub update --all은 pin 정책의 「심리적 안심」을 우회합니다——프로덕션 cron은 「티켓 기반 업데이트」로 전환하고 스테이징에서 inspect를 재실행하세요.
주의: SKILL.md가 서드파티 API Key를 shell profile에 export하도록 요구하면 openclaw configure 또는 SecretRef를 우선하고 Gateway 환경에 평문 저장을 피하세요.
악성 skill 설치 의심 시 먼저 권한 차단, 다음 정리, 마지막 로테이션 순서로 실행합니다.
즉시 Gateway 중지: openclaw gateway stop 또는 systemd stop으로 outbound를 차단합니다.
skill 제거: clawhub uninstall <slug> 또는 skills/<slug>/ 디렉터리 삭제;crontab / LaunchAgent에 이상 항목이 없는지 확인합니다.
자격 증명 로테이션: 모든 LLM Provider Key, Brave Search Key, Gateway Token(gateway.auth.token);Anthropic/OpenAI 콘솔에서 비정상 호출 급증을 확인합니다.
재검수: openclaw doctor --fix와 인증 트러블슈팅 전문을 대조합니다.
노트북이나 공유 VPS에서 skill을 시험 설치하면 실험 디렉터리와 프로덕션 Gateway가 동일 사용자 아래에 혼재하기 쉽습니다. 전용 스냅샷 복원 가능 macOS 노드가 「스테이징 시험 → pin → 프로덕션 승격」 계층 흐름에 더 적합합니다. VPS를 빌리는 감각으로 SSH 유지보수 가능한 Mac 연산을 확보하고 본 Runbook을 표준 이미지에 담으려면 NodeMini Mac Mini 클라우드 렌탈이 실무에서 분명히 유리합니다. 원격 Mac launchd 상주와 iOS CI와 같은 운영 관점으로 「집에서 악성 skill 시험, 회사 프로덕션 Key가 같은 머신에 노출」 위험을 줄일 수 있습니다.
가능합니다. 다만 반드시 선검수 후 설치해야 합니다. inspect로 moderation 신호를 확인하고 pin으로 버전을 고정하며 프로덕션에서는 allowBundled와 병행하세요. 설치 흐름은 ClawHub 설치 완전 가이드를 참조하세요.
allowBundled는 어떤 skill이 로드 가능한지를 관리합니다. MCP 화이트리스트는 skill이 호출할 수 있는 외부 도구를 관리합니다. 둘을 겹쳐야 완전한 경계가 됩니다. 자세히는 MCP 도구체인 전문을 보세요.