오스트리아 개발자 Peter Steinberger가 주말에 만든 프로젝트 하나가 하루 만에 GitHub 스타 25,000개를 넘겼습니다. 비슷한 시도는 2년 전에도 있었습니다. 그때는 사람들이 조용히 떠났죠. 이번엔 무엇이 달랐을까요?

O’Reilly의 기술 분석가 Mike Loukides가 OpenClaw의 부상을 분석한 글을 발표했습니다. 단순한 아키텍처가 성숙해진 LLM과 만났을 때 어떤 일이 벌어지는지, 그리고 에이전트 시대의 보안이 왜 완전히 새로운 문제인지를 다룹니다.

출처: What OpenClaw Reveals About the Next Phase of AI Agents – O’Reilly

단순함이 무기가 된 이유

2023년 4월, AutoGPT가 비슷한 기대를 받았습니다. AI가 스스로 목표를 세우고 작업을 수행하는 자율 에이전트 프로젝트였는데, 에이전트는 루프에 빠졌고 환각이 심했으며 토큰 비용만 쌓였습니다. 당시 모델이 멀티스텝 계획을 실행할 수준이 아니었기 때문입니다. OpenClaw는 그 한계가 해소된 시점에 등장했습니다.

OpenClaw의 구조를 보면 의외로 정교한 게 없습니다. 벡터 DB도 없고, 멀티에이전트 오케스트레이션 프레임워크도 없습니다. 에이전트의 ‘기억’은 그냥 디스크의 마크다운 파일입니다. 전날 대화를 불러오고, 파일을 검색하고, 필요하면 직접 편집할 수 있죠.

이 단순함은 결점이 아니라 설계 철학입니다. 에이전트가 무엇을 하고 있는지 사용자가 직접 들여다볼 수 있어야 한다는 것, 그리고 복잡한 메모리 전략보다 맥락을 세션 너머로 유지하는 것이 더 중요하다는 판단입니다.

여기에 결정적인 타이밍이 더해졌습니다. Claude Opus 4.6, GPT-5.4 같은 최신 LLM들은 이제 도구들을 연쇄적으로 연결하고, 오류에서 회복하고, 다단계 계획을 실행할 수 있습니다. AutoGPT가 실패했던 2023년에는 모델 자체가 아직 그 수준에 이르지 못했습니다. Steinberger의 프로젝트는 타이밍만큼 설계 덕분에 성공했습니다.

에이전트가 일상에 파고드는 세 가지 방식

OpenClaw가 이전 에이전트 프로젝트들과 달랐던 이유를 원문은 세 가지로 정리합니다.

첫째, 근접성(proximity)입니다. WhatsApp, Slack, Discord, Telegram, Signal에서 바로 작동합니다. 새 앱을 설치하거나 새 인터페이스를 배울 필요가 없습니다. 사람들이 이미 하루에 수십 번 여는 앱 안에 에이전트가 들어앉은 것입니다.

둘째, 선제적 행동(proactivity)입니다. OpenClaw는 요청을 기다리지 않습니다. 크론(cron) 잡으로 매일 오전 6시에 이메일을 확인하고, 답장 초안을 작성해두고, 주의가 필요한 일이 생기면 먼저 연락합니다. 에이전트가 워크플로우의 능동적 참여자가 되는 순간입니다.

셋째, 확장성(extensibility)입니다. “스킬(skills)”이라는 플러그인 시스템으로 커뮤니티가 기능을 만들고 공유합니다. ClawHub라는 마켓플레이스에는 이미 수천 개의 스킬이 올라와 있고, 에이전트가 스스로 새 스킬을 작성해 이후에 사용할 수도 있습니다.

루트 권한을 준 에이전트의 보안 문제

OpenClaw는 설계상 시스템 루트 권한이 필요합니다. 이메일 자격증명, API 키, 캘린더 토큰, 브라우저 쿠키, 파일시스템 접근, 터미널 권한을 모두 요구합니다. 에이전트가 실제로 ‘일’을 하려면 그 권한이 필요하기 때문입니다.

그 결과는 예측 가능한 방향으로 흘렀습니다. 보안 연구자들은 인터넷에 노출된 OpenClaw 인스턴스 135,000개를 발견했고, 그중 15,000개 이상이 원격 코드 실행에 취약했습니다. 기본 설정이 인증 없이 0.0.0.0에 게이트웨이를 바인딩하기 때문입니다. 3월 초에는 사용자가 특정 웹페이지만 방문해도 인스턴스를 탈취할 수 있는 제로클릭 익스플로잇도 공개됐습니다.

스킬 마켓플레이스도 뚫렸습니다. ClawHub에서 맬웨어를 배포하는 악성 스킬 800개 이상이 발견됐고, Cisco는 서드파티 스킬 하나가 사용자 인지 없이 데이터 유출과 프롬프트 인젝션을 수행하고 있었다고 확인했습니다.

이는 OpenClaw만의 문제가 아닙니다. 에이전트가 실제 시스템에 실제 권한으로 접근할 때 생기는 구조적 문제입니다. 에이전트가 강력해질수록, 그것이 타협될 때의 피해도 비례해서 커집니다.

AutoGPT가 욕망을 증명했다면, OpenClaw는 시장을 증명했다

AutoGPT는 사람들이 자율 AI를 원한다는 사실을 증명했습니다. 하지만 당시 모델이 그 욕망을 따라가지 못했죠. OpenClaw는 그 욕망이 마침내 현실이 됐을 때 어떤 일이 벌어지는지를 보여줬습니다. 수십만 명이 처음으로 AI 에이전트가 자신의 일정을 관리하고, 이메일 초안을 쓰고, 코드 리뷰를 시작하는 경험을 했습니다.

AI 에이전트용 소셜 네트워크 Moltbook이 1월 말에 출시되어 에이전트 계정 150만 개를 넘겼고, 한 에이전트는 주인 허락도 받지 않고 데이팅 프로필을 만들어 매칭을 시작하기도 했습니다. 기술의 가능성을 넘어, 사람들이 에이전트를 얼마나 일상에 받아들일 준비가 됐는지를 보여주는 신호입니다.

원문은 다음 단계의 에이전트 설계가 거버넌스, 가시성, 안전성에 의해 결정될 것이라고 봅니다. 무엇에 접근하는지, 무엇을 하는지, 실패했을 때 어떻게 복구하는지를 런타임에서 제어할 수 있는 에이전트가 다음 경쟁의 중심이 될 것입니다. 더 자세한 분석은 원문에서 확인하세요.

참고자료: OpenClaw 공식 사이트