클로봇(OpenClaw)의 궤적 기반 안전성 감사

A Trajectory-Based Safety Audit of Clawdbot (OpenClaw)

클로봇은 로컬 실행 및 웹 기반 워크플로우를 포괄하는 광범위한 동작 공간을 가진 자체 호스팅, 도구 사용 개인 AI 에이전트이며, 이는 모호성 및 적대적 조작 하에서 더욱 높은 안전 및 보안 문제를 야기합니다. 본 연구에서는 클로봇의 궤적 중심 평가를 통해 6가지 위험 요소를 분석합니다. 테스트 스위트는 기존 에이전트 안전성 벤치마크(ATBench 및 LPS-Bench 포함)의 시나리오를 활용하고, 클로봇의 도구 기능을 고려하여 직접 설계한 사례를 추가합니다. 모든 상호 작용 궤적(메시지, 동작, 도구 호출 인수/출력)을 기록하고, 자동화된 궤적 평가 도구(AgentDoG-Qwen3-4B)와 인간 검토를 통해 안전성을 평가합니다. 34개의 표준 사례를 분석한 결과, 안전성 프로필이 균일하지 않음을 확인했습니다. 신뢰성 중심 작업에서는 성능이 일반적으로 일관적인 반면, 대부분의 오류는 명확성이 부족한 의도, 개방형 목표 또는 겉보기에는 무해한 탈옥 프롬프트에서 발생하며, 이러한 경우 사소한 오해로 인해 더 큰 영향을 미치는 도구 동작으로 이어질 수 있습니다. 본 연구에서는 전체 결과를 보완하기 위해 대표적인 사례 연구를 제시하고, 이러한 사례의 공통점을 요약하여 클로봇이 실제로 발생시키는 보안 취약점과 일반적인 오류 모드를 분석했습니다.

Clawdbot is a self-hosted, tool-using personal AI agent with a broad action space spanning local execution and web-mediated workflows, which raises heightened safety and security concerns under ambiguity and adversarial steering. We present a trajectory-centric evaluation of Clawdbot across six risk dimensions. Our test suite samples and lightly adapts scenarios from prior agent-safety benchmarks (including ATBench and LPS-Bench) and supplements them with hand-designed cases tailored to Clawdbot's tool surface. We log complete interaction trajectories (messages, actions, tool-call arguments/outputs) and assess safety using both an automated trajectory judge (AgentDoG-Qwen3-4B) and human review. Across 34 canonical cases, we find a non-uniform safety profile: performance is generally consistent on reliability-focused tasks, while most failures arise under underspecified intent, open-ended goals, or benign-seeming jailbreak prompts, where minor misinterpretations can escalate into higher-impact tool actions. We supplemented the overall results with representative case studies and summarized the commonalities of these cases, analyzing the security vulnerabilities and typical failure modes that Clawdbot is prone to trigger in practice.