OpenClaw 바이럴 AI 에이전트, 무엇이 달라졌고 무엇이 위험한가

TL;DR

• OpenClaw는 개인 PC에서 실행되는 오픈소스 AI 에이전트로, 메신저를 “명령 입력 채널”로 삼아 이메일·캘린더 같은 실작업을 처리하는 쪽에 초점을 둡니다. (GitHub)
• 바이럴의 핵심은 “말만 하는 챗봇”이 아니라 권한을 받아 실제로 실행한다는 점인데, 그만큼 권한·비밀(키)·플러그인(스킬) 관리 실패가 곧 사고로 이어집니다. (가디언)
• 실제로 Moltbook 관련 노출(자격증명/키/이메일)과, 스킬 레지스트리 기반 공급망 위험, OpenClaw 자체 취약점(CVE/권고)이 연달아 보고되었습니다. (1password.com)
• 결론: 써도 됩니다. 다만 “내 본계정 + 본PC + 무제한 권한 + 검증 안 된 스킬” 조합이면 언제든 터질 구조입니다. 이 글의 체크리스트대로 샌드박싱/최소권한/비밀관리/네트워크 제어를 먼저 하세요. (OpenClaw)

---

본문

TOC

• OpenClaw 정의와 범위(포함/제외/오해)
• 왜 바이럴이 됐나: “실행”의 가치와 비용
• 아키텍처 요약: Gateway·채널·스킬·샌드박스
• 보안 이슈 팩트체크: Moltbook·악성 스킬·CVE
• 실무 체크리스트: 배포 전 / 운영 중
• 대안 비교표: OpenClaw vs AutoGPT vs OpenHands vs Open Interpreter vs LangGraph
• 트러블슈팅 3선
• FAQ
• 결론

---

OpenClaw 정의와 범위

1문장 정의

OpenClaw는 로컬 PC에서 실행되며, 메신저(예: WhatsApp/Telegram)를 통해 지시를 받아 이메일/캘린더/각종 도구 실행을 수행하는 오픈소스 AI 에이전트입니다. (GitHub)

포함/제외 범위(무엇은 아닌가)

• 포함: 개인 작업 자동화(메일 정리, 일정 업데이트, 요약, 명령/툴 실행 등)처럼 “실행”이 본질인 작업 (GitHub)
• 제외: 보안적으로 “완전 자율”을 전제로 하는 무인 운영(사람 승인 없이 결제/거래/권한 변경을 상시 수행) — 문서도 안전한 기본값(로컬 바인딩, 토큰 인증, DM 페어링 등)을 강조합니다. (OpenClaw)

대표 오해 1개

• 오해: “오픈소스니까 안전하다”
• 현실: 오픈소스는 검증 가능성이지 안전 보장이 아닙니다. 특히 에이전트는 (1) 권한, (2) 비밀(키), (3) 외부 입력(메시지/웹), (4) 스킬/플러그인 공급망이 동시에 얽혀 공격면이 넓습니다. (OWASP)

Why it matters: 에이전트는 “실행 권한”이 가치의 핵심이라서, 보안 실패 시 피해도 “실행 단위”로 커집니다. (가디언)

---

왜 바이럴이 됐나: “실행”의 가치와 비용

• 바이럴 포인트는 챗봇 대화가 아니라 “메일함 정리/일정 반영/명령 실행”처럼 결과물이 남는 작업입니다. (가디언)

• 개발 초기부터 폭발적으로 커졌고, 대중적 지표로도 GitHub 스타가 빠르게 증가했습니다(변동 수치이므로 기준일 명시). (GitHub)

• 핵심 비용은 돈보다 “통제”입니다. 실행형 에이전트는 결국 다음을 요구합니다.

  1. 계정 접근(메일/메신저/캘린더)
  2. API 키/토큰(LLM·외부 서비스)
  3. 도구 실행 권한(파일/프로세스/네트워크) (OpenClaw)

Why it matters: “실행을 맡긴다”는 건 ‘대리인(Agent)’에게 권한을 위임하는 것이고, 위임 설계(최소권한/승인/격리)를 안 하면 자동화가 아니라 자동사고가 됩니다. (OpenClaw)

---

아키텍처 요약: Gateway·채널·스킬·샌드박스

OpenClaw는 문서에서 Gateway(제어/라우팅), 채널(WhatsApp 등), 툴/스킬(실행 단위), 샌드박싱(Docker 격리)을 핵심 축으로 설명합니다. (OpenClaw)

구성요소(요약 표)

구성요소	역할	보안 관점 핵심
Gateway	에이전트 실행/채널 연결/도구 호출의 허브	로컬 바인딩, 토큰 인증, 외부 노출 금지 (OpenClaw)
채널(메신저)	사용자가 지시를 넣는 입력면	DM 페어링/그룹 멘션 요구 등 입력 통제 (OpenClaw)
스킬/툴	“무엇을 실행할지”를 정의	신뢰되지 않은 스킬은 사실상 실행 코드(공급망) (Tom's Hardware)
샌드박스(Docker)	파일·프로세스·브라우저 실행 격리	격리 범위(session/agent)와 workspace 접근(ro/none) 설계 (Molt Documentation)

Why it matters: 이 구조를 이해하면, 보안도 “감”이 아니라 어디에 통제를 걸어야 하는지(입력/권한/실행/격리)로 바뀝니다. (OpenClaw)

---

보안 이슈 팩트체크: Moltbook·악성 스킬·CVE

1) Moltbook 노출: 키/자격증명/이메일 + 통제 위험

Moltbook은 에이전트들이 상호작용하는 소셜 플랫폼으로 소개됐지만, 보안 측면에서는 “에이전트가 외부에서 지시를 받아 실행할 수 있는 통로”가 됩니다. (가디언)

• 보안회사 조사 및 이를 인용한 보도에서, 인증 없이 접근 가능한 데이터베이스로 인해 API 키/자격증명과 이메일 주소가 노출된 정황이 보고됐습니다. (1password.com)
• 일부 보도는 “사람이 임의의 에이전트를 조작할 수 있었다”는 취지의 위험도 함께 제기했습니다. (404 Media)

숫자 상충(왜 다른가)

노출 규모는 매체별로 이메일 주소가 ‘6,000+’에서 ‘35,000’까지 다르게 인용됩니다. 이는 보통 측정 방법 차이(샘플/중복 제거 기준/집계 시점) 또는 문서 갱신 지연로 설명됩니다. (1password.com)

Why it matters: 에이전트는 “대화 내용”이 아니라 키/토큰이 유출되는 순간 실제 실행 권한이 넘어갈 수 있습니다. (1password.com)

---

2) 악성 스킬/레지스트리: 공급망 공격이 너무 쉽다

스킬 레지스트리(예: ClawHub)를 통해 배포되는 스킬 중 악성 사례가 보고되었고, “터미널 명령 실행 유도/클립보드·비밀 탈취” 같은 전형적 패턴이 언급됩니다. (Tom's Hardware)

• 보도에서는 악성 스킬이 다수 발견되거나, 규모가 커질수록 검증 없이 유통될 수 있다는 점을 경고합니다. (Tom's Hardware)

Why it matters: 에이전트 생태계에서 “스킬”은 사실상 실행 코드의 마켓플레이스입니다. 공급망 통제를 안 하면, 사용자는 자발적으로 악성 코드를 설치하게 됩니다. (Tom's Hardware)

---

3) OpenClaw 자체 취약점/권고: “대시보드 외부 노출 금지”는 규칙

공식 보안 권고에서는 특정 취약점(CVE)과 완화책이 정리되어 있고, 특히 다음 메시지가 중요합니다.

• 웹 UI(대시보드)는 로컬 전용이며 공용 인터넷에 노출하면 안 된다는 점
• 패치 버전으로 업데이트, 안전한 런타임/Node 버전 권고 (The Hacker News)

Why it matters: “로컬에서만 쓸 것”을 전제로 한 UI를 외부에 열어두는 순간, 그건 개인 자동화가 아니라 외부 공격면입니다. (The Hacker News)

---

실무 체크리스트: 배포 전 / 운영 중

배포 전(Pre-flight)

1. 분리 원칙: 가능하면 “본PC/본계정”이 아니라 테스트 전용 계정·전용 환경부터 시작
2. Gateway 로컬 바인딩 + 토큰 인증: 기본은 loopback, 강한 토큰, DM 페어링 (OpenClaw)
3. 샌드박싱 ON: 실행 도구는 Docker로 격리하고 workspaceAccess는 최소(ro/none) (Molt Documentation)
4. 툴 allow/deny 정책: 읽기 전용 프로필을 별도 에이전트로 구성(예: 가족/그룹용) (OpenClaw)
5. 스킬 검증 절차: “출처/서명/리뷰/권한 요구” 확인 없이는 설치 금지(사내라면 아예 미러/프록시 운영) (Tom's Hardware)
6. 업데이트/패치 기준: 보안 권고에 맞춘 버전·런타임 유지 (The Hacker News)

운영 중(Ops)

1. 키/토큰 수명 관리: 정기 로테이션, 최소 스코프, 유출 전제 대응(runbook)
2. 로그 민감정보 마스킹: 문서의 redact 설정 등 활용 (OpenClaw)
3. 네트워크 이그레스 제어: 에이전트가 임의의 외부로 나가지 못하도록 기본 차단 + 허용목록
4. 이상행위 탐지: 갑작스런 대량 메일 처리/대량 API 호출/새 스킬 설치 이벤트 모니터링
5. 사람 승인 지점(HITL): 결제/거래/권한 변경/외부 전송은 반드시 사람 승인 단계로 분리(프레임워크 일반 권고) (langchain.com)

(예시) “격리된 실행”을 위한 Docker 샌드박스 런 커맨드

아래는 문서에서 제시하는 보안 강화를 위한 Docker 실행 옵션(읽기전용, cap drop 등) 흐름과 같은 방향입니다. (The Hacker News)

# 컨셉 예시: Gateway/툴 실행을 컨테이너 경계로 격리(읽기 전용, 권한 최소화)
docker run --read-only --cap-drop=ALL --security-opt no-new-privileges \
  -p 127.0.0.1:18789:18789 \
  -e OPENCLAW_GATEWAY_BIND=127.0.0.1 \
  -e OPENCLAW_AUTH_MODE=token \
  openclaw:latest

자주 하는 실수 Top 3

• 대시보드를 0.0.0.0로 열어 외부 노출(“로컬 전용” 전제 위반) (The Hacker News)
• 스킬을 “편하니까” 설치하고, 스킬이 요구하는 권한/행위를 확인하지 않음 (Tom's Hardware)
• 본계정에 광범위 권한을 주고, DM/그룹 입력 통제를 켜지 않음 (OpenClaw)

Why it matters: 이 체크리스트는 기능을 줄이자는 게 아니라, “통제 가능한 자동화”로 바꾸자는 것입니다. 그래야 실사용이 가능합니다. (OpenClaw)

---

대안 비교표(무엇을 선택할까)

구분	강점	약점/리스크	이런 경우 추천
OpenClaw	메신저 기반 개인 비서 + 로컬 실행 지향 (GitHub)	계정/키/스킬/외부입력 결합으로 공격면 큼 (OWASP)	“내 일상 앱” 중심 자동화가 목표
AutoGPT	자동화 실험/에이전트 빌더 생태계 (GitHub)	사용 방식에 따라 안정성 편차	워크플로 자동화/실험
OpenHands	개발 업무(코딩/명령/브라우징) 에이전트 (GitHub)	권한이 넓어지면 위험도 상승	코드 작업 보조가 목표
Open Interpreter	로컬에서 코드/쉘 실행 중심 (GitHub)	“로컬 실행” 자체가 위험(기본 안전장치 부족 경고 존재) (GitHub)	데이터 분석/로컬 작업 자동화
LangChain (LangGraph)	제어 가능한 에이전트 런타임/흐름(HITL 포함) (langchain.com)	“완성형 비서”라기보다 프레임워크	제품/서비스로 안전하게 만들 때

Why it matters: “개인 비서(완제품)”와 “에이전트 프레임워크(부품)”를 섞어 고르면, 기능도 보안도 둘 다 놓치기 쉽습니다. (langchain.com)

---

트러블슈팅(증상 → 원인 → 해결) 3선

1. 증상: 에이전트가 엉뚱한 외부 사이트/링크를 따라가며 작업을 바꾼다

• 원인: 외부 입력(메시지/웹) 기반 지시가 도구 실행으로 이어짐(프롬프트 인젝션 계열) (OWASP)
• 해결: 그룹/DM 정책 강화, 위험 도구 deny, 샌드박스 범위(session)로 축소 (OpenClaw)

2. 증상: 로그/스크린샷/공유된 설정에서 API 키가 노출됐다

• 원인: 비밀값 마스킹/보관 정책 부재 (OpenClaw)
• 해결: 즉시 키 폐기/재발급, 마스킹 설정 적용, 비밀은 환경변수·Vault 등으로 분리(코드/로그에 남기지 않기) (OpenClaw)

3. 증상: 외부에서 대시보드에 접근 가능해 보인다

• 원인: bind 주소/방화벽 설정 실수(외부 노출) (The Hacker News)
• 해결: loopback 고정, 토큰 인증 확인, 외부 포트 차단, 최신 보안 권고 버전 적용 (The Hacker News)

Why it matters: 트러블슈팅의 핵심은 “모델이 똑똑해지는 것”이 아니라, 실행 경로를 통제하는 것입니다. (OpenClaw)

---

FAQ

1. OpenClaw는 왜 “위험한데도” 사람들이 쓰나요?

• 실사용 가치(메일/일정/명령 실행)가 크기 때문입니다. 다만 가치의 원천이 곧 위험의 원천입니다. (가디언)

2. Moltbook 같은 외부 플랫폼을 꼭 써야 하나요?

• 아닙니다. 외부 지시/스킬 유입 통로가 늘수록 리스크가 증가합니다. (TechCrunch)

3. “샌드박스만 켜면 안전”한가요?

• 완전한 보장은 아니지만, 파일/프로세스 접근 반경을 줄이는 데 실질적 도움이 된다고 문서가 설명합니다. (Molt Documentation)

4. 개인 사용자 최소 안전선(가장 중요한 3개)은?

• (1) 로컬 바인딩+토큰, (2) DM/그룹 입력 통제, (3) 스킬 설치 금지 또는 엄격 검증입니다. (OpenClaw)

5. 기업이 PoC로 테스트할 때 가장 먼저 할 일은?

• 계정/키/로그/네트워크를 분리한 “격리형 PoC”부터 시작하고, 실행 도구는 allowlist 기반으로 줄이세요. OWASP의 LLM 보안 항목(프롬프트 인젝션 등)도 함께 체크하세요. (OWASP)

---

결론 (요약 정리)

• OpenClaw의 본질은 “대화”가 아니라 실행이며, 실행은 곧 권한입니다. (가디언)
• Moltbook 노출/악성 스킬/취약점 권고 사례는, 에이전트가 실생활로 들어오면서 전통 보안(비밀관리·공급망·노출면) 문제가 그대로 따라온다는 신호입니다. (1password.com)
• “써도 되냐”보다 중요한 질문은 “통제 설계가 끝났냐”입니다. 샌드박싱·최소권한·입력 통제·패치가 준비되지 않았으면, 아직은 실사용 단계가 아닙니다. (OpenClaw)

References

• (OpenClaw (GitHub Repo), 2026-02-03)[https://github.com/openclaw/openclaw]
• (OpenClaw Security (Gateway), 2026-02-03)[https://docs.openclaw.ai/gateway/security]
• (GitHub Security Advisory (CVE-2026-25253), 2026-02-03)[https://github.com/openclaw/openclaw/security/advisories]
• (CVE-2026-25253, 2026-02-03)[https://nvd.nist.gov/vuln/detail/CVE-2026-25253]
• (OWASP Top 10 for LLM Applications, 2026-02-03)[https://owasp.org/www-project-top-10-for-large-language-model-applications/]
• (Viral AI personal assistant seen as step change – but experts warn of risks, 2026-02-02)[https://www.theguardian.com/technology/2026/feb/02/openclaw-viral-ai-agent-personal-assistant-artificial-intelligence]
• (OpenClaw's AI assistants are now building their own social network, 2026-01-30)[https://techcrunch.com/2026/01/30/openclaws-ai-assistants-are-now-building-their-own-social-network/]
• (Exposed Moltbook database revealed secrets, 2026-02-02)[https://www.reuters.com/world/us/exposed-database-ai-agent-social-media-site-revealed-secrets-researchers-say-2026-02-02/]
• (The strange new social network for AI agents had a huge security hole, 2026-02-01)[https://www.theverge.com/ai-artificial-intelligence]
• (OpenClaw: The viral “space lobster” agent testing limits, 2026-01-29)[https://www.ibm.com/think/news/clawdbot-ai-agent-testing-limits-vertical-integration]
• (Malicious OpenClaw ‘skill’ targets crypto users on ClawHub, 2026-02-02)[https://www.tomshardware.com/software/security-software/malicious-openclaw-skill-targets-crypto-users-on-clawhub]
• (Malicious OpenClaw Skills Target Crypto Users, 2026-02-02)[https://thehackernews.com/2026/02/researchers-uncover-hundreds-of.html]