• 1. OpenClaw란 무엇인가?
  • 개요
  • 프로젝트의 전례 없는 성장
• 2. 탄생과 진화: Clawdbot에서 OpenClaw까지
  • Peter Steinberger - 창시자
  • 이름 변경의 역사 - 오픈소스 역사상 가장 빠른 트리플 리브랜딩
    • Phase 1: Clawdbot (2025년 11월)
    • Phase 2: Moltbot (2026년 1월 27일)
    • Phase 3: OpenClaw (2026년 1월 30일)
  • Moltbook과 바이럴 폭발
• 3. Gateway 아키텍처 심층 분석
  • 허브-앤-스포크 설계
  • Gateway 프로세스의 핵심 역할
  • Agent Runtime - ReAct 루프
  • Heartbeat 메커니즘
• 4. 멀티채널 통합 시스템
  • 지원 채널 목록
    • 기본 채널 (Built-in)
    • 확장 채널 (Extension)
  • 멀티 에이전트 라우팅
• 5. Skills 생태계와 ClawHub
  • Skills란?
  • ClawHub - "AI Agent의 npm"
    • ClawHub 핵심 기능
    • 수치로 보는 ClawHub 생태계
    • Skill 설치 및 사용
  • awesome-openclaw-skills
• 6. 핵심 기능 상세 분석
  • 6.1 브라우저 자동화
  • 6.2 Voice Wake & Talk Mode
  • 6.3 Canvas (라이브 캔버스)
  • 6.4 Cron Jobs - 능동적 자동화
    • 스케줄링 옵션
    • 실행 모드
    • 에러 처리와 재시도
    • Cron 데이터 영속성
• 7. 메모리 시스템
  • 파일 기반 투명한 메모리
• 8. 설치와 설정
  • 기본 설치
  • Docker 기반 배포
  • LLM Provider 설정
    • 설정 파일 구조 (~/.openclaw/openclaw.json)
    • 주요 Provider 비교
• 9. 보안 이슈 - AI Agent 보안의 새로운 패러다임
  • 9.1 CVE-2026-25253: 1-Click RCE
    • 취약점 개요
    • 공격 체인
    • 대응 조치
  • 9.2 ClawHavoc 캠페인 - 공급망 공격
  • 9.3 자격 증명 평문 저장 문제
  • 9.4 인터넷 노출 인스턴스
  • 9.5 MCP와 Skills의 보안 모델 한계
  • 9.6 보안 권장사항
• 10. OpenAI 인수와 재단 전환
  • 인수 발표
  • 인수 구조
  • 재단 전환
  • 전략적 의미
• 11. 경쟁 환경: AI Agent 생태계 비교
  • 2026년 주요 AI Agent 비교
    • OpenClaw vs Claude Code
    • OpenClaw vs AutoGPT
• 12. OpenClaw의 아키텍처에서 배우는 Agent 설계 원칙
  • 12.1 핵심 추상화의 단순성
  • 12.2 현대 Agent 프레임워크의 공통 레이어
  • 12.3 Local-First의 트레이드오프
• 13. 실전 활용 시나리오
  • 시나리오 1: 개인 생산성 비서
  • 시나리오 2: DevOps 모니터링 자동화
  • 시나리오 3: 로컬 LLM으로 완전 무료 비서
• 14. 향후 전망과 시사점
  • AI Agent 시대의 도래
  • 주요 시사점
    • 1. 메시징 인터페이스의 중요성
    • 2. 보안은 사후적 문제가 아닌 설계적 문제
    • 3. 오픈소스와 기업의 공생
    • 4. Skill 마켓플레이스의 양면성
  • 결론
• References

1. OpenClaw란 무엇인가?

개요

OpenClaw는 오스트리아 개발자 Peter Steinberger가 만든 오픈소스 자율형 AI Agent다. 단순한 챗봇이 아니라 WhatsApp, Telegram, Slack, Discord 등 사용자가 이미 사용하는 메시징 플랫폼을 통해 명령을 받고, 웹 브라우저 제어, 파일 관리, 셸 명령 실행, 이메일 처리, 캘린더 관리 등을 자율적으로 수행하는 항시 가동(always-on) 시스템이다.

핵심 철학은 **"Local-First"**다. 모든 데이터와 처리가 사용자의 기기에서 이루어지며, 외부 LLM API(Claude, GPT, DeepSeek, Ollama 등)만 선택적으로 연결한다. 이는 프라이버시와 통제권을 사용자에게 돌려주는 설계 원칙이다.

프로젝트의 전례 없는 성장

OpenClaw는 GitHub 역사상 가장 빠르게 성장한 오픈소스 프로젝트로 기록되었다.

React, Python, Linux, Vue 등 레전드급 프로젝트들만이 앞서 있을 뿐, OpenClaw는 이들이 수년에 걸쳐 달성한 Star 수를 불과 몇 주 만에 돌파했다. 이는 AI Agent에 대한 개발자 커뮤니티의 폭발적 수요를 보여주는 사건이다.

2. 탄생과 진화: Clawdbot에서 OpenClaw까지

Peter Steinberger - 창시자

Peter Steinberger는 PDF 관련 솔루션 기업 PSPDFKit의 창업자로 13년간 회사를 운영한 베테랑 개발자다. PSPDFKit 이후 AI Agent 탐색을 시작한 그는 OpenClaw를 처음에는 "playground project"로 시작했다.

이름 변경의 역사 - 오픈소스 역사상 가장 빠른 트리플 리브랜딩

OpenClaw는 불과 3일 만에 두 번의 이름 변경을 겪었다. 이는 오픈소스 역사상 유례가 없는 사건이다.

Phase 1: Clawdbot (2025년 11월)

최초 이름은 Clawdbot이었다. Anthropic의 챗봇 "Claude"에서 영감을 받아 "Clawd"라는 말장난에서 출발했다. 이 시기에는 단일 프로세스 AI Agent로서 WhatsApp, Telegram, Discord 등 다수의 메시징 플랫폼에 동시 연결하는 개인 실험 프로젝트였다.

Phase 2: Moltbot (2026년 1월 27일)

Anthropic 법무팀이 상표권 문제를 제기하면서 Moltbot으로 이름을 변경했다. "Molt"는 바닷가재가 탈피하는 것을 의미하며, 프로젝트의 랍스터(lobster) 테마를 유지했다.

이름 변경 과정에서 심각한 사건이 발생했다. Steinberger가 GitHub 조직명과 X(Twitter) 핸들을 동시에 변경하려 할 때, 10초간의 공백 동안 암호화폐 사기꾼들이 버려진 @clawdbot 핸들을 탈취했다. 가짜 $CLAWD 토큰이 Solana 블록체인에서 발행되어 시가총액 1,600만 달러까지 치솟았다가 곧바로 0으로 폭락했다.

Phase 3: OpenClaw (2026년 1월 30일)

상표 및 보안 이슈를 해결하기 위해 3일 만에 다시 OpenClaw으로 최종 리브랜딩했다. 이 시점에서 프로젝트는 이미 100,000+ GitHub Stars를 돌파한 상태였다.

Moltbook과 바이럴 폭발

첫 번째 리브랜딩과 거의 동시에, 기업가 Matt Schlicht가 Moltbook이라는 소셜 네트워킹 서비스를 출시했다. Moltbook은 "Dead Internet" 실험으로, 인간은 관찰만 하고 수천 개의 OpenClaw Agent들이 자율적으로 게시물을 작성하고, 댓글을 달고, 추천하는 소셜 네트워크였다.

Moltbook의 바이럴한 인기는 OpenClaw의 관심도를 폭발적으로 끌어올렸고, 이 시너지가 GitHub 역사상 전례 없는 성장을 만들어냈다.

3. Gateway 아키텍처 심층 분석

허브-앤-스포크 설계

OpenClaw의 전체 아키텍처는 Gateway를 중심으로 한 허브-앤-스포크(Hub-and-Spoke) 패턴을 따른다. Gateway는 사용자 입력과 AI Agent Runtime 사이의 **단일 제어 평면(Single Control Plane)**으로 기능한다.

┌─────────────────────────────────────────────────────────────┐
│                    OpenClaw Gateway                         │
│              (Node.js Single Process)                       │
│           127.0.0.1:18789 (default port)                    │
│                                                             │
│  ┌──────────┐  ┌──────────┐  ┌──────────┐  ┌────────────┐  │
│  │ WebSocket│  │  HTTP    │  │ Control  │  │  Served    │  │
│  │   RPC    │  │  APIs    │  │   UI     │  │  Assets    │  │
│  └────┬─────┘  └────┬─────┘  └────┬─────┘  └─────┬──────┘  │
│       │              │             │              │          │
│  ┌────┴──────────────┴─────────────┴──────────────┴──────┐  │
│  │              Multiplexed Port (18789)                   │  │
│  └────────────────────────┬───────────────────────────────┘  │
│                           │                                  │
│  ┌────────────────────────┴───────────────────────────────┐  │
│  │              Agent Runtime (AI Loop)                    │  │
│  │  ┌────────┐ ┌────────┐ ┌────────┐ ┌──────────────┐    │  │
│  │  │Context │ │ Model  │ │ Tool   │ │   State      │    │  │
│  │  │Assembly│→│Invoke  │→│Execute │→│ Persistence  │    │  │
│  │  └────────┘ └────────┘ └────────┘ └──────────────┘    │  │
│  └────────────────────────────────────────────────────────┘  │
└──────────────────────────┬──────────────────────────────────┘
                           │
         ┌─────────────────┼─────────────────┐
         │                 │                 │
    ┌────┴────┐      ┌────┴────┐       ┌────┴────┐
    │WhatsApp │      │Telegram │       │ Discord │  ... etc
    └─────────┘      └─────────┘       └─────────┘

Gateway 프로세스의 핵심 역할

Gateway는 단일 Node.js 프로세스로 실행되며, 기본적으로 127.0.0.1:18789에서 리스닝한다. 하나의 멀티플렉싱된 포트에서 다음 네 가지 트래픽을 동시에 처리한다.

1. WebSocket RPC: CLI, Control UI, 채널 플러그인, Node 앱으로부터의 제어 트래픽
2. HTTP APIs: 외부 Tool 호출 및 OpenAI-호환 API 인터페이스
3. Control UI: 브라우저 대시보드용 SPA 서비스
4. Served Assets: 정적 자산 제공

공식 문서에서는 Gateway를 **"sessions, routing, channel connections의 단일 진실 공급원(Single Source of Truth)"**이자 전체 시스템의 신경계로 설명한다.

Agent Runtime - ReAct 루프

Agent Runtime은 AI 루프를 end-to-end로 실행하는 핵심 엔진이다. 전체 실행 흐름은 다음과 같다.

1. Context Assembly: 세션 히스토리, 메모리, 활성 Skills로부터 컨텍스트를 조립
2. Model Invocation: 조립된 컨텍스트를 LLM에 전달하여 추론 실행
3. Tool Execution: 모델의 도구 호출 요청에 따라 브라우저 자동화, 파일 작업, Canvas, 스케줄링 등 실행
4. State Persistence: 업데이트된 상태를 영속화

이 루프는 모델이 최종 응답을 생성하거나 사용자 확인이 필요할 때까지 반복된다. 이는 ReAct(Reasoning + Acting) 패턴의 실제 구현체다.

사용자 메시지 → Context Assembly → LLM 추론
                                      ↓
                              Tool Call 필요?
                              ├── Yes → Tool 실행 → 결과를 Context에 추가 → LLM 재추론
                              └── No  → 최종 응답 생성 → 채널로 전달

Heartbeat 메커니즘

OpenClaw의 독특한 기능 중 하나는 Heartbeat다. 기본적으로 30분마다 스케줄링 트리거가 발동되며, Agent는 HEARTBEAT.md 파일을 읽어 능동적으로 확인해야 할 작업 체크리스트를 처리한다. 이를 통해 Agent가 사용자의 명시적 명령 없이도 프로액티브하게 동작할 수 있다.

4. 멀티채널 통합 시스템

지원 채널 목록

OpenClaw가 다른 AI Agent 프레임워크와 가장 크게 차별화되는 점은 기존 메시징 플랫폼과의 네이티브 통합이다. 별도의 전용 앱이 아니라 사용자가 이미 사용하는 채널에서 바로 AI Agent와 소통할 수 있다.

기본 채널 (Built-in)

확장 채널 (Extension)

멀티 에이전트 라우팅

Gateway는 단일 Agent 또는 다수의 Agent를 동시에 호스팅할 수 있다. 주요 기능은 다음과 같다.

• 채널별 Agent 라우팅: 서로 다른 채널을 서로 다른 Agent에 연결
• 피어 바인딩: 특정 대화를 특정 Agent에 라우팅
• Agent별 격리 세션: 각 Agent가 독립적인 세션에서 실행
• 도구 허용/차단 목록: Agent별로 사용 가능한 Tool을 세밀하게 제어

{
  "agents": {
    "work-agent": {
      "model": "anthropic/claude-sonnet-4",
      "channels": ["slack", "teams"],
      "tools": {
        "allow": ["browser", "calendar", "email"],
        "deny": ["shell"]
      }
    },
    "personal-agent": {
      "model": "openai/gpt-4o",
      "channels": ["whatsapp", "telegram"],
      "tools": {
        "allow": ["*"]
      }
    }
  }
}

이렇게 업무용 Agent와 개인용 Agent를 분리하여 운영할 수 있으며, 각 Agent는 다른 LLM 모델과 도구 세트를 사용하도록 구성할 수 있다.

5. Skills 생태계와 ClawHub

Skills란?

OpenClaw의 Skills는 Agent의 능력을 확장하는 모듈식 번들이다. Skills는 기본적으로 Markdown 파일로 구성되며, Agent가 특정 작업을 수행하는 데 필요한 지시 사항(instructional code)을 포함한다.

핵심적인 설계 원칙은 **선택적 주입(Selective Injection)**이다. OpenClaw는 런타임에서 Skill을 검색할 수 있지만, 모든 Skill을 모든 프롬프트에 무차별적으로 주입하지 않는다. 현재 턴(turn)에 관련된 Skill만 선택적으로 주입하여 프롬프트 크기 팽창과 모델 성능 저하를 방지한다.

ClawHub - "AI Agent의 npm"

ClawHub(clawhub.ai)는 OpenClaw 팀이 구축하고 유지하는 공식 Skill 레지스트리다. npm이 Node.js 패키지를 위한 중앙 저장소인 것처럼, ClawHub는 AI Agent Skills의 중앙 마켓플레이스 역할을 한다.

ClawHub 핵심 기능

수치로 보는 ClawHub 생태계

• 2026년 2월 28일 기준 13,729개의 커뮤니티 빌드 Skills 등록
• GitHub 계정 최소 1주일 이상 경과해야 Skill 게시 가능
• 카테고리: GitHub 저장소 관리, 스마트 홈 제어, 소셜 미디어 자동화, 데이터 분석 등

Skill 설치 및 사용

# Skill 설치
openclaw skill install <skill-name>

# 설치된 Skills 목록 확인
openclaw skill list

# Skill 제거
openclaw skill remove <skill-name>

awesome-openclaw-skills

커뮤니티에서 관리하는 awesome-openclaw-skills 저장소에는 공식 ClawHub Skills Registry에서 필터링되고 카테고리화된 5,400개 이상의 Skill이 정리되어 있다.

6. 핵심 기능 상세 분석

6.1 브라우저 자동화

OpenClaw는 Chromium 기반 브라우저(Chrome, Brave, Edge, Chromium)에 **CDP(Chrome DevTools Protocol)**를 통해 연결하고, Playwright를 사용하여 고급 작업을 수행한다.

지원되는 브라우저 프로파일 모드는 세 가지다.

Agent 명령: "JIRA에서 이번 스프린트의 미완료 티켓을 확인해줘"
    ↓
Browser Tool 활성화 → CDP 연결
    ↓
Playwright: navigate → login → scrape → parse
    ↓
Agent 응답: "미완료 티켓 5개: PROJ-123, PROJ-456..."

6.2 Voice Wake & Talk Mode

OpenClaw는 macOS, iOS, Android에서 **항시 음성 감지(Always-on Wake Word Detection)**를 지원한다.

동작 흐름은 다음과 같다.

1. Wake Word 감지: "Hey OpenClaw" 호출
2. 음성 스트리밍: ElevenLabs로 오디오 스트리밍
3. Transcription: 음성을 텍스트로 변환
4. Agent 처리: 변환된 텍스트를 Agent Runtime에 전달
5. TTS 응답: ElevenLabs Text-to-Speech로 음성 응답 생성 후 재생

이를 통해 키보드나 화면 없이도 음성만으로 Agent와 상호작용할 수 있다. 운전 중 일정 확인, 요리하면서 레시피 검색 등의 핸즈프리 시나리오에서 유용하다.

6.3 Canvas (라이브 캔버스)

Canvas는 Agent가 동적으로 UI 컴포넌트를 렌더링할 수 있는 시각적 워크스페이스다.

Agent가 차트, 이미지, 버튼, 텍스트 등을 동적으로 생성하여 사용자에게 시각적 인터페이스를 제공할 수 있다. 단순 텍스트 응답을 넘어 리치 인터랙션을 가능하게 하는 기능이다.

6.4 Cron Jobs - 능동적 자동화

Cron Service는 Gateway에 내장된 시간 기반 스케줄러로, Agent가 사용자의 명시적 명령 없이도 정해진 시간에 작업을 실행할 수 있게 한다.

스케줄링 옵션

실행 모드

Cron 작업에는 두 가지 실행 모드가 있다.

1. Main Session 주입: 기존 대화 컨텍스트를 공유하며 실행
2. Isolated Agent Turn: 독립적인 세션 cron:<jobId>에서 새로운 컨텍스트로 실행

격리 실행은 대화 히스토리 없이 깨끗한 상태에서 시작하므로, 독립적인 모니터링 작업에 적합하다.

에러 처리와 재시도

반복 작업에서 연속적인 에러가 발생하면 **지수 백오프(Exponential Backoff)**가 적용된다.

1차 실패 → 30초 대기
2차 실패 → 1분 대기
3차 실패 → 5분 대기
4차 실패 → 15분 대기
5차+ 실패 → 60분 대기
성공 시 → 백오프 자동 리셋

Cron 데이터 영속성

Cron 작업은 ~/.openclaw/cron/jobs.json에 저장된다. Gateway가 이 파일을 메모리에 로드하고 변경 시 다시 파일에 쓰므로, 수동 편집은 Gateway가 중지된 상태에서만 안전하다.

7. 메모리 시스템

파일 기반 투명한 메모리

OpenClaw의 메모리 시스템은 의도적으로 평문 Markdown과 YAML 파일을 사용한다. 대화 기록, 장기 메모리, Skills 모두 사용자의 워크스페이스(~/.openclaw)에 일반 파일로 저장된다.

이 설계의 장점은 명확하다.

• 텍스트 에디터로 직접 검사 및 편집 가능
• Git으로 버전 관리 가능
• grep으로 검색 가능
• 선택적 삭제가 자유로움
• 독점적 데이터베이스 형식에 대한 종속성 없음

~/.openclaw/
├── openclaw.json          # 주 설정 파일
├── memory/
│   ├── long-term.md       # 장기 메모리
│   └── context/           # 세션별 컨텍스트
├── sessions/
│   ├── session-001.md     # 대화 히스토리
│   └── session-002.md
├── cron/
│   └── jobs.json          # 스케줄링 데이터
└── skills/
    └── installed/         # 설치된 Skills

이는 "검사 가능하고 이해 가능한 AI 시스템"이라는 OpenClaw의 철학을 반영한다. 블랙박스 데이터베이스가 아니라 사람이 읽을 수 있는 파일 시스템을 사용함으로써, 사용자가 Agent의 메모리를 완전히 통제할 수 있다.

8. 설치와 설정

기본 설치

# npm을 통한 글로벌 설치
npm install -g openclaw@latest

# 온보딩 위자드 실행 (대화형 설정)
openclaw onboard

# Gateway 시작 (포그라운드)
openclaw gateway

# Gateway 시작 (데몬 모드, 프로덕션용)
openclaw gateway --daemon

# 커스텀 포트로 시작
openclaw gateway --port 19000

온보딩 위자드(openclaw onboard)는 Gateway, Workspace, 채널, Skills 설정을 단계별로 안내하는 대화형 인터페이스다.

Docker 기반 배포

Docker는 OpenClaw의 권장 배포 방식이다. 프로세스 격리, 일관된 동작, 간편한 업데이트를 제공한다.

# docker-compose.yml 예시
version: '3.8'
services:
  openclaw:
    image: openclaw/openclaw:latest
    ports:
      - '18789:18789'
    volumes:
      - ~/.openclaw:/root/.openclaw
      - ~/openclaw/workspace:/root/openclaw/workspace
    environment:
      - OPENCLAW_AUTH_TOKEN=${OPENCLAW_AUTH_TOKEN}
    restart: unless-stopped

~/.openclaw은 설정 디렉토리, ~/openclaw/workspace는 Agent의 작업 디렉토리로 볼륨 마운트되어 컨테이너 재시작 시에도 데이터가 유지된다.

LLM Provider 설정

OpenClaw는 모델 불가지론적(Model-Agnostic) 설계를 채택하여 다양한 LLM Provider를 지원한다.

설정 파일 구조 (~/.openclaw/openclaw.json)

{
  "models": {
    "mode": "merge",
    "providers": {
      "anthropic": {
        "baseUrl": "https://api.anthropic.com/v1",
        "apiKey": "sk-ant-...",
        "api": "anthropic",
        "models": [
          {
            "id": "claude-sonnet-4",
            "name": "claude-sonnet-4",
            "reasoning": false,
            "input": ["text"],
            "contextWindow": 200000,
            "maxTokens": 8192
          }
        ]
      },
      "openai": {
        "baseUrl": "https://api.openai.com/v1",
        "apiKey": "sk-...",
        "api": "openai-completions",
        "models": [
          {
            "id": "gpt-4o",
            "name": "gpt-4o",
            "reasoning": false,
            "input": ["text"],
            "contextWindow": 128000,
            "maxTokens": 16384
          }
        ]
      },
      "ollama": {
        "baseUrl": "http://127.0.0.1:11434/v1",
        "api": "openai-completions",
        "models": [
          {
            "id": "llama3.3",
            "name": "llama3.3",
            "reasoning": false,
            "input": ["text"],
            "contextWindow": 32000,
            "maxTokens": 32000
          }
        ]
      }
    }
  },
  "agents": {
    "defaults": {
      "model": "anthropic/claude-sonnet-4",
      "workspace": "~/openclaw/workspace",
      "models": ["anthropic/claude-sonnet-4", "openai/gpt-4o", "ollama/llama3.3"]
    }
  }
}

주요 Provider 비교

중요한 점은 Provider를 정의하는 것만으로는 불충분하고, agents.defaults.models 허용 목록에도 모델을 추가해야 한다. 그렇지 않으면 OpenClaw가 해당 모델 사용을 거부한다.

모델 참조 형식은 provider/model 패턴을 사용한다 (예: openai/gpt-4o, ollama/llama3.3).

9. 보안 이슈 - AI Agent 보안의 새로운 패러다임

OpenClaw의 폭발적 성장은 동시에 AI Agent 보안의 새로운 도전과제를 전면에 부각시켰다. 2026년 2월, OpenClaw는 다중 벡터 보안 위기를 경험했으며, 이는 자율형 AI Agent 시스템의 본질적 위험을 드러냈다.

9.1 CVE-2026-25253: 1-Click RCE

취약점 개요

공격 체인

이 취약점은 밀리초 단위로 실행되는 1-Click RCE Kill Chain이다.

1. 악성 링크 클릭
   ↓
2. URL 파라미터로 gatewayUrl 주입
   (패치 전: 사용자 확인 없이 WebSocket 자동 연결)
   ↓
3. 인증 토큰 탈취
   (credentials가 쿼리 스트링으로 전송)
   ↓
4. Cross-Site WebSocket Hijacking (CSWSH)
   (WebSocket 서버가 Origin 헤더 미검증)
   ↓
5. 보안 가드레일 해제
   (사용자 확인 비활성화, 컨테이너 탈출)
   ↓
6. node.invoke를 통한 임의 셸 명령 실행
   ↓
7. 완전한 시스템 장악

가장 충격적인 점은 localhost에서만 실행하는 사용자도 취약하다는 것이다. 공격이 피해자의 브라우저를 통해 로컬 네트워크로 피벗(pivot)하기 때문에, 인스턴스가 인터넷에 노출되어 있을 필요가 없다.

대응 조치

# 1. 즉시 업그레이드
npm install -g openclaw@latest

# 2. Gateway Token 순환 (새 authToken 생성)
openclaw gateway rotate-token

# 3. 기존 세션 무효화
openclaw sessions clear

9.2 ClawHavoc 캠페인 - 공급망 공격

OpenClaw의 Skills 마켓플레이스에서 대규모 공급망 독주(Supply-Chain Poisoning) 캠페인이 발견되었다.

악성 Skills는 정상적인 기능을 가장하면서 백그라운드에서 자격 증명 탈취, 암호화폐 지갑 키 수집, 시스템 정보 수집 등을 수행했다.

9.3 자격 증명 평문 저장 문제

OpenClaw의 설정, 메모리, 대화 로그는 LLM 및 통합 서비스의 API 키, 비밀번호, 기타 자격 증명을 평문으로 저장한다. 이 문제의 심각성을 보여주는 지표가 있다.

• RedLine과 Lumma 인포스틸러의 최신 변종이 **OpenClaw 파일 경로를 반드시 수집해야 할 목록(must-steal list)**에 추가
• 기존 ~/.openclaw 디렉토리가 공격 대상 우선순위에 편입

9.4 인터넷 노출 인스턴스

다수의 보안 스캐닝 팀(Censys, Bitsight, Hunt.io)이 30,000개 이상의 인터넷에 노출된 OpenClaw 인스턴스를 식별했으며, 상당수가 인증 없이 실행되고 있었다.

9.5 MCP와 Skills의 보안 모델 한계

Agent Skills 명세는 마크다운 본문에 어떤 제한도 두지 않는다. Skills에는 "Agent가 작업을 수행하는 데 도움이 되는" 어떤 지시든 포함할 수 있다. 여기에는 터미널 명령어의 복사/붙여넣기 지시도 포함된다.

따라서 보안 모델이 "MCP가 Tool 호출을 게이팅할 것"이라고 가정하더라도, 악성 Skill이 소셜 엔지니어링, 직접 셸 지시, 또는 번들된 코드를 통해 MCP를 우회할 수 있다.

9.6 보안 권장사항

Microsoft, Cisco, Kaspersky 등 주요 보안 기업들이 발표한 권장사항을 종합하면 다음과 같다.

1. OpenClaw를 "신뢰할 수 없는 코드 실행 + 영속적 자격 증명"으로 취급할 것
2. 표준 개인/기업 워크스테이션에서 직접 실행하지 말 것
3. 반드시 Docker 컨테이너 또는 VM 내에서 격리 실행
4. 네트워크 방화벽으로 아웃바운드 트래픽 제한
5. ClawHub Skills 설치 전 반드시 코드 리뷰
6. VirusTotal 스캔 결과 확인
7. Gateway Token을 정기적으로 순환
8. 자격 증명을 환경 변수 또는 Secret Manager로 분리

10. OpenAI 인수와 재단 전환

인수 발표

2026년 2월 15일, OpenAI CEO Sam Altman이 OpenClaw 인수와 Peter Steinberger의 OpenAI 합류를 발표했다. Steinberger 자신은 블로그에 다음과 같이 썼다.

"I'm joining OpenAI to work on bringing agents to everyone."

이 발표는 AI 업계에 큰 파장을 일으켰다. GitHub 역사상 가장 빠르게 성장한 오픈소스 프로젝트의 창시자가, 세계 최대 AI 기업에 합류한 것이다.

인수 구조

이번 거래는 전형적인 Acqui-hire 패턴을 따랐다.

재단 전환

OpenClaw는 독립 오픈소스 재단으로 전환되며, 핵심 Gateway는 MIT 라이선스를 유지한다. OpenAI가 재정적 후원과 Steinberger의 유지보수 시간을 보장하지만, 프로젝트의 독립성과 오픈소스 특성은 유지될 예정이다.

전략적 의미

VentureBeat는 이 인수를 **"ChatGPT 시대의 종말의 시작"**이라고 평가했다. 이는 AI의 미래가 모델이 무엇을 말할 수 있는가가 아니라 무엇을 할 수 있는가에 달려 있다는 OpenAI의 판단을 반영한다.

대화형 챗봇에서 자율형 Agent로의 전환은 업계 전체의 흐름이며, OpenClaw 인수는 이 전환의 가속을 상징하는 사건이다.

11. 경쟁 환경: AI Agent 생태계 비교

2026년 주요 AI Agent 비교

OpenClaw vs Claude Code

이 두 도구는 완전히 다른 니즈를 충족한다.

• Claude Code: 터미널에서 실행되는 목적 특화 코딩 Agent. 전체 코드베이스를 이해하고, 코드 작성/리뷰/리팩토링에 특화
• OpenClaw: 메시징 앱을 통해 접근하는 범용 생활 비서. 이메일 관리, 웹 브라우징, 스케줄링, 파일 관리 등 광범위한 작업 수행

실무에서는 두 도구를 병행 사용하는 것이 최적이다. 코딩 작업은 Claude Code에, 일상 자동화와 커뮤니케이션 관리는 OpenClaw에 위임하는 구조다.

OpenClaw vs AutoGPT

AutoGPT는 2023년에 자율형 Agent 공간을 개척했지만, 2026년에 이르러 OpenClaw에 개발자 관심을 빼앗겼다. 주요 원인은 다음과 같다.

• 메시징 인터페이스 부재 (WhatsApp/Telegram 명령 채널 없음)
• Cron 스케줄링 부재
• Docker 기반 설정 필수 (간편성 부족)
• 커뮤니티 생태계의 격차 (ClawHub vs AutoGPT 생태계)

12. OpenClaw의 아키텍처에서 배우는 Agent 설계 원칙

OpenClaw의 설계는 현대 AI Agent 프레임워크가 공유해야 할 핵심 패턴을 보여준다.

12.1 핵심 추상화의 단순성

OpenClaw의 핵심 설계는 놀랍도록 두 가지 단순한 추상화로 귀결된다.

1. Gateway: 모든 I/O(채널, API, UI)의 단일 진입점
2. Agent Runtime: 모든 AI 로직(컨텍스트 조립, 추론, 도구 실행, 상태 관리)의 단일 실행 환경

이 두 추상화 사이의 깔끔한 경계가 시스템의 확장성과 유지보수성을 보장한다.

12.2 현대 Agent 프레임워크의 공통 레이어

OpenClaw를 포함한 현대 Agent 프레임워크들은 다음 레이어를 공유한다.

┌──────────────────────────────────────────┐
│  1. Gateway / Orchestration Layer        │  ← 라우팅, 세션 관리
├──────────────────────────────────────────┤
│  2. Context Assembly                     │  ← 히스토리, 메모리, 지시 패키징
├──────────────────────────────────────────┤
│  3. ReAct Loop                           │  ← 추론 → 도구 호출 → 결과 통합
├──────────────────────────────────────────┤
│  4. Tool Layer                           │  ← 실세계 능력 (브라우저, 파일, API)
├──────────────────────────────────────────┤
│  5. Skill / Prompt System                │  ← 도메인 특화 전문성
├──────────────────────────────────────────┤
│  6. Memory System                        │  ← 세션 간 연속성
├──────────────────────────────────────────┤
│  7. Scheduling Mechanism                 │  ← 능동적 행동 (Cron, Heartbeat)
└──────────────────────────────────────────┘

12.3 Local-First의 트레이드오프

OpenClaw의 Local-First 설계는 프라이버시와 통제권이라는 명확한 이점을 제공하지만, 동시에 다음과 같은 트레이드오프를 수반한다.

13. 실전 활용 시나리오

시나리오 1: 개인 생산성 비서

[WhatsApp 메시지]
사용자: "내일 오전 회의 준비해줘. 지난주 이메일에서 관련 자료 찾아서 정리하고,
        참석자들에게 리마인더 보내줘."

[OpenClaw 처리 흐름]
1. 이메일 Tool → 지난주 메일 검색 및 관련 자료 추출
2. Calendar Tool → 내일 오전 회의 상세 정보 조회
3. File Tool → 자료를 요약 문서로 정리
4. Messaging Tool → 참석자들에게 리마인더 전송
5. WhatsApp 응답 → 처리 결과 보고

시나리오 2: DevOps 모니터링 자동화

{
  "cron": {
    "name": "k8s-health-check",
    "schedule": "every 15 minutes",
    "isolated": true,
    "prompt": "쿠버네티스 클러스터의 노드 상태, 파드 재시작 횟수, 리소스 사용률을 확인하고 이상 징후가 있으면 Slack #ops 채널에 알림을 보내줘.",
    "deliverTo": "slack:#ops"
  }
}

시나리오 3: 로컬 LLM으로 완전 무료 비서

Ollama를 사용하면 비용 없이 OpenClaw를 운영할 수 있다.

# 1. Ollama 설치 및 모델 다운로드
ollama pull llama3.3

# 2. OpenClaw 설정에 Ollama Provider 추가
# ~/.openclaw/openclaw.json의 providers 섹션에 ollama 추가

# 3. 기본 모델을 Ollama로 설정
# agents.defaults.model: "ollama/llama3.3"

이 구성에서는 모든 추론이 로컬 GPU에서 실행되므로 API 비용이 0이며, 데이터가 외부로 전송되지 않아 완전한 프라이버시가 보장된다. 다만 로컬 모델의 성능은 Claude나 GPT 대비 제한적이므로, 복잡한 추론이 필요한 작업에서는 클라우드 모델과 병행하는 것이 실용적이다.

14. 향후 전망과 시사점

AI Agent 시대의 도래

OpenClaw의 등장과 폭발적 성장은 대화형 AI 챗봇 시대에서 에이전틱(Agentic) AI 시대로의 전환을 명확히 보여준다. 사용자들은 더 이상 AI에게 답변만을 기대하지 않는다. AI가 실제로 행동하고 실행하는 것을 원한다.

주요 시사점

1. 메시징 인터페이스의 중요성

OpenClaw가 AutoGPT나 다른 Agent 프레임워크를 압도한 핵심 요인은 기존 메시징 플랫폼과의 통합이다. 사용자가 새로운 인터페이스를 배울 필요 없이, 이미 매일 사용하는 WhatsApp이나 Telegram에서 바로 AI Agent와 소통할 수 있다는 점이 채택을 크게 가속시켰다.

2. 보안은 사후적 문제가 아닌 설계적 문제

CVE-2026-25253, ClawHavoc 캠페인, 평문 자격 증명 저장 등의 문제는 AI Agent 보안이 기존 소프트웨어 보안과 근본적으로 다른 차원의 도전이라는 것을 보여준다. Agent는 본질적으로 임의 코드 실행 능력을 가진 시스템이므로, 보안은 설계 단계에서부터 최우선으로 고려되어야 한다.

3. 오픈소스와 기업의 공생

OpenClaw → OpenAI 인수 → 독립 재단 전환의 흐름은 오픈소스 프로젝트와 대기업 사이의 새로운 공생 모델을 제시한다. 프로젝트의 독립성을 유지하면서도 기업의 자원과 영향력을 활용하는 균형점을 찾는 것이 향후 오픈소스 AI 생태계의 핵심 과제다.

4. Skill 마켓플레이스의 양면성

ClawHub의 13,000+ Skills는 생태계의 풍요로움을 보여주지만, 동시에 20%에 달하는 악성 Skill 비율은 개방형 마켓플레이스의 본질적 취약성을 드러낸다. npm, PyPI 등 기존 패키지 레지스트리가 겪었던 공급망 공격 문제가 AI Agent Skills 영역에서 더욱 심각한 형태로 재현되고 있다.

결론

OpenClaw는 단순한 소프트웨어 프로젝트를 넘어, AI Agent 시대의 가능성과 위험을 동시에 보여주는 이정표다. 주말 프로젝트에서 시작하여 GitHub 역사를 다시 쓰고, OpenAI에 인수되기까지의 여정은 기술적 혁신이 얼마나 빠르게 사회적 영향력을 갖출 수 있는지를 증명한다.

개발자로서 주목해야 할 것은 OpenClaw의 성공 요인뿐 아니라 그것이 드러낸 보안, 신뢰, 거버넌스의 미해결 과제다. 자율형 AI Agent가 일상에 깊이 통합될수록, 이 시스템들을 안전하고 신뢰할 수 있게 만드는 것은 전체 AI 커뮤니티의 공동 책임이 될 것이다.

References

• OpenClaw GitHub Repository
• OpenClaw Official Documentation - Gateway Architecture
• OpenClaw Blog - Introducing OpenClaw
• Peter Steinberger - OpenClaw, OpenAI and the future
• TechCrunch - OpenClaw creator Peter Steinberger joins OpenAI
• VentureBeat - OpenAI's acquisition of OpenClaw signals the beginning of the end of the ChatGPT era
• Pragmatic Engineer - The creator of Clawd: "I ship code I don't read"
• Fortune - Who is OpenClaw creator Peter Steinberger?
• Cisco Security Blog - Personal AI Agents like OpenClaw Are a Security Nightmare
• Microsoft Security Blog - Running OpenClaw safely
• 1Password - From magic to malware: How OpenClaw's agent skills become an attack surface
• Adversa AI - OpenClaw security guide 2026: CVE-2026-25253
• DigitalOcean - What is OpenClaw?
• DigitalOcean - What are OpenClaw Skills?
• DEV Community - Inside OpenClaw: How a Persistent AI Agent Actually Works
• Docker Blog - Run OpenClaw Securely in Docker Sandboxes
• Lex Fridman Podcast #491 - Peter Steinberger Transcript