GitHub 스타 25만 개. React가 10년 걸린 기록을 60일 만에 깼다. OpenClaw 이야기다. 그런데 같은 시기, 보안 연구자들은 이 프레임워크의 기본 방어율이 17%에 불과하다는 논문을 발표했다. 한쪽에서는 “AI 에이전트 시대가 열렸다”고 환호하고, 다른 쪽에서는 “이건 재앙”이라고 경고한다. 둘 다 맞는 말이다.
핵심 요약
OpenClaw는 오픈소스 AI 에이전트 프레임워크로 60일 만에 GitHub 역대 최다 스타(250,829개)를 기록했다. 하지만 샌드박스 탈출 방어율 17%, 82개국 135,000개 인스턴스 노출이라는 심각한 보안 문제를 안고 있다. LLM 백엔드 선택과 Human-in-the-Loop 설계가 핵심 대응 전략이다.
챗봇이 아니라 일을 하는 AI
OpenClaw는 LLM을 대화 도구가 아닌 실행형 자율 에이전트로 전환하는 프레임워크다. 오스트리아 개발자 Peter Steinberger가 2025년 11월 혼자 만들었다. WhatsApp이나 Slack 같은 메시징 앱에서 지시를 내리면, AI가 이메일을 보내고 파일을 만들고 웹을 스크래핑하고 API를 호출한다. 말 그대로 “시키면 한다.”
출처: GitHub – openclaw/openclaw
기술적으로 보면 구조가 깔끔하다. 로컬에서 돌아가는 Gateway가 LLM API를 중개하고, Pi Agent가 실제 작업을 실행하며, 20개 이상 메시징 채널로 분기 처리가 가능하다. npm install -g openclaw@latest 한 줄이면 설치가 끝난다.
성장 속도는 말 그대로 전례가 없다. 출시 첫날 9,000 스타, 2026년 1월에는 하루 25,310 스타로 일일 기록을 갈아치웠고, 3월 3일 기준 250,829 스타로 React(243,000)와 Linux(218,000)를 모두 넘어섰다. 매주 1,000명 이상이 코드를 기여하고 있고, 스킬 마켓플레이스인 ClawHub에는 10,700개 이상의 스킬이 등록되어 있다.
그런데 이 폭발적 성장 뒤에는 불편한 진실이 숨어 있다.
방어율 17%라는 숫자의 무게
OpenClaw의 보안 상황은 솔직히 심각하다. arXiv 논문 “Don’t Let the Claw Grip Your Hand”가 47개 시나리오, 6개 공격 카테고리를 테스트한 결과, 샌드박스 탈출 공격에 대한 기본 방어율이 17%에 불과했다.
숫자만 나열해도 상황이 그려진다.
| 위협 | 규모 |
|---|---|
| 공개 인터넷 노출 인스턴스 | 82개국 135,000개 이상 |
| 원격 코드 실행 취약 인스턴스 | 15,000개 이상 |
| 발견된 취약점 (보안 감사) | 512개, 그 중 8개 치명적 |
| ClawHub 악성 스킬 | 324개에서 820개로 급증 |
| Moltbook 데이터 침해 | API 토큰 150만 개, 이메일 35,000개, DM 4,060건 유출 |
문제의 근본 원인은 설계 철학에 있다. OpenClaw는 기본적으로 0.0.0.0:18789에 바인딩되어 모든 네트워크 인터페이스에서 수신한다. 인증 없이. 새로 설치하면 같은 네트워크에 있는 누구나, 포트가 열려 있으면 인터넷의 누구나 접근할 수 있다는 뜻이다.
비유하자면 이렇다. 집 현관문을 활짝 열어놓고 “들어와서 뭐든 해도 돼”라는 표지판을 걸어둔 것과 비슷하다. 편리하기는 하다. 문제는 그게 내 집이라는 거다.
CVE-2026-25253은 악성 링크 클릭 한 번으로 원격 코드 실행이 가능한 취약점이고, ClawJacked 공격은 악성 웹사이트가 WebSocket을 통해 로컬 에이전트를 하이재킹한다. 중국 CNCERT는 OpenClaw의 기본 보안 설정을 “극도로 취약”하다고 경고했고, 베이징은 국가 기관에서의 대규모 사용을 제한하는 조치를 취했다.
LLM 선택이 곧 보안 전략이다
보안 이야기가 나왔으니 흥미로운 데이터를 하나 더 짚어보겠다. 같은 arXiv 논문에서 LLM 백엔드에 따라 보안 성능 차이가 극명하게 갈렸다.
Claude(Anthropic)는 47개 시나리오 중 43개를 차단해 91.5%의 방어율을 보였다. GPT(OpenAI)는 중간, DeepSeek는 최하위였다. 프롬프트 인젝션 저항성에서 Claude가 압도적이라는 독립 평가 결과다.
출처: Running OpenClaw safely: identity, isolation, and runtime risk | Microsoft Security Blog
Microsoft 보안 블로그는 신원(Identity), 격리(Isolation), 런타임 위험(Runtime Risk)의 3대 축으로 OpenClaw 보안 관리를 권고했다. 여기에 Human-in-the-Loop(HITL) 방어 레이어를 적용하면 방어율이 17%에서 최대 91.5%까지 올라간다. 고위험 작업 — 이메일 발송, 파일 삭제, API 호출 — 에 대해 반드시 사람이 확인하도록 하는 원칙이다.
도입 전에 보안을 설계하는 비용이 운영 중 패치하는 비용보다 항상 낮다. 이건 OpenClaw만의 문제가 아니라 에이전틱 AI 전체의 구조적 과제다. OWASP는 2026년 에이전틱 애플리케이션 Top 10 위협 목록을 발표했고, 사이버보안 전문가의 48%가 에이전틱 AI를 2026년 최대 공격 벡터로 꼽았다.
그래도 판이 바뀌고 있다
보안 위기에도 불구하고 OpenClaw가 만들어낸 생태계 변화는 되돌리기 어렵다.
출처: OpenClaw creator Peter Steinberger joining OpenAI, Altman says
2026년 2월 Peter Steinberger는 OpenAI에 합류했다. Sam Altman은 “그는 매우 스마트한 에이전트들이 서로 상호작용하며 사람들에게 유용한 일을 하는 미래에 대해 놀라운 아이디어를 가진 천재”라고 밝혔다. OpenClaw는 종료되지 않고 OpenAI가 후원하는 독립 오픈소스 재단으로 전환된다. 다만 OpenAI 후원 재단이라는 구조가 Claude나 Gemini 같은 경쟁 LLM과의 중립적 통합에 어떤 영향을 미칠지는 두고 봐야 할 부분이다.
중국 빅테크의 움직임도 빠르다. 바이두는 3월 11일 DuClaw를 출시했는데, 서버 설정이나 API 키 연결 없이 월 약 2.5달러로 OpenClaw에 즉시 접근할 수 있는 서비스다. MAU 7억의 바이두 앱에 통합됐다. 알리바바도 곧바로 OpenClaw 앱을 내놓으며 경쟁에 합류했고, OpenClaw 관련 중국 클라우드 주식은 20%대 급등했다.
파생 프로젝트도 흥미롭다. NanoClaw는 Docker와 파트너십을 맺었고, NVIDIA는 NemoClaw라는 엔터프라이즈 플랫폼을 출시했다. Rust로 구현한 ZeroClaw, 엔터프라이즈 보안 특화 IronClaw, 10달러짜리 마이크로컨트롤러에서도 돌아가는 PicoClaw까지. 전통적으로 상용 SaaS가 먼저 시장을 개척하고 오픈소스가 뒤따랐는데, OpenClaw는 이 순서를 완전히 뒤집었다.
로보틱스 쪽도 눈여겨볼 만하다. DimensionalOS가 발표한 Unitree G1 휴머노이드 로봇 통합은 메시징 앱에서 텍스트 명령으로 로봇을 제어하는 수준까지 왔다. 복셀 기반 공간 지능(Spatial Intelligence)으로 AI 에이전트가 물리 공간을 이해하고 기억하는 ‘세계 기억’을 갖게 된다는 건, 에이전틱 AI가 디지털 세계에만 머물지 않겠다는 신호다.
인사이트
첫 번째로는 에이전틱 AI의 대중화가 이론이 아니라 현실이 됐다는 점이다. npm 한 줄 설치, 0원, 60일 만에 GitHub 역대 최다 스타. OpenClaw의 성공은 기술적 우수성보다 타이밍의 승리에 가깝다. 2026년은 에이전틱 AI 대중화 원년으로 기록될 가능성이 높다.
두 번째는 보안 설계 없는 에이전트 도입은 도박이라는 점이다. 에이전틱 AI는 기존 AI 도구보다 훨씬 넓은 시스템 접근 권한을 요구한다. 파일 시스템, 브라우저, OAuth 토큰, 이메일 — 전부 건드린다. 방어율 17%라는 숫자는 “편리함”과 “안전함” 사이의 거리가 얼마나 먼지 보여준다. LLM 백엔드 선택(Claude 권장)과 HITL 레이어 설계는 선택이 아니라 필수다.
마무리
OpenClaw가 증명한 건 두 가지다. AI 에이전트는 진짜 쓸 만한 수준이 됐다는 것, 그리고 그만큼 위험해졌다는 것. 둘 중 하나만 보면 판단을 그르친다.
에이전틱 AI를 검토하고 있다면 당장 시도해볼 수 있는 한 가지가 있다. 로컬 환경에 OpenClaw를 설치하되, 반드시 HITL 레이어부터 구성하는 거다. 보안 없는 에이전트는 열쇠 없는 자동차와 같다. 잘 달리긴 하는데, 누가 타고 갈지 모른다.
참고 자료
- OpenClaw GitHub Repository
- OpenClaw – Wikipedia
- arXiv – Don’t Let the Claw Grip Your Hand (2603.10387)
- Microsoft Security Blog – Running OpenClaw Safely
- CNBC – Peter Steinberger Joining OpenAI
- Baidu Launches DuClaw – PR Newswire
- TechCrunch – NanoClaw Docker Partnership
- Mastercard – OpenClaw AI Security Standards
- CrowdStrike – What Security Teams Need to Know About OpenClaw
- OWASP Top 10 for Agentic Applications 2026
