주말 해킹 프로젝트가 AI 에이전트의 설계도가 된 사연

바이럴 성장과 승리한 아키텍처

오픈클로의 아키텍처는 개발자들에게 거부할 수 없는 세 가지 기둥 위에 세워졌습니다.

• 메시징 우선 인터페이스: 별도의 앱이나 브라우저 탭 대신, 사용자들은 이미 사용 중인 왓츠앱, 텔레그램, 슬랙, 그리고 12개가 넘는 다른 플랫폼을 통해 AI 에이전트와 소통합니다 .
• 자체 호스팅 및 MIT 라이선스: 특정 벤더에 종속되지 않고, 클라우드 의존도가 없습니다. 누구나 자신의 컴퓨터에서 실행할 수 있습니다 .
• 모델 독립적 게이트웨이: 클로드, GPT, 제미나이(Gemini)는 물론 로컬 모델까지 지원하며, 단일 AI 제공업체에 묶여 있지 않습니다 .

성장 곡선은 오픈소스 역사의 모든 패턴을 깨부쉈습니다. 이 프로젝트는 바이럴이 시작된 첫 14일 만에 19만 개의 스타를 얻었습니다 . 2026년 2월에는 20만 스타를 넘어섰고 , 2026년 3월 3일에는 리액트(React)를 제치고 깃허브에서 가장 많은 스타를 받은 소프트웨어 프로젝트가 되었습니다. 리액트가 이 자리에 오르는 데 13년이 걸렸지만, 오픈클로는 약 100일 만에 해낸 것입니다 . 2026년 6월 초 기준으로 이 저장소는 약 37만 7천 개의 깃허브 스타를 기록하며 깃허브 역사상 6번째로 높은 스타를 보유한 프로젝트가 되었습니다 .

빅테크의 합류: MS, 구글, 메타

마이크로소프트 스카우트: "오픈클로 유사품"이 아닌 진짜 게이트웨이

2026년 6월 2일, 마이크로소프트는 연례 개발자 컨퍼런스 '빌드(Build)'에서 오픈클로 게이트웨이를 기반으로 직접 구축된 최초의 '오토파일럿(Autopilot)' 에이전트인 '스카우트(Scout)'를 공개했습니다 . 기존 AI 기능이 개별 앱 안에 갇혀 있던 것과 달리, 스카우트는 항상 켜져 있고 자체 ID를 가진 에이전트로서 팀즈(Teams), 아웃룩(Outlook), 원드라이브(OneDrive), 셰어포인트(SharePoint) 전반에서 작동하며, 사용자의 별도 지시 없이도 캘린더, 이메일, 작업을 능동적으로 관리합니다 .

이 관계는 단순한 영감의 차원이 아니라 통합 그 자체입니다. 마이크로소프트는 스카우트가 클론이나 포크(fork)가 아닌 오픈클로 게이트웨이를 직접 사용한다고 확인했습니다 . 또한 이 회사는 엔터프라이즈 보안 가드레일과 정책 준수 기능을 오픈소스 핵심 코드에 다시 기여하겠다고 약속했습니다 . 이는 2026년 3월, 사티아 나델라(Satya Nadella) CEO가 모건 스탠리 청중 앞에서 "마이크로소프트 내부에 오픈클로를 출시하는 것은 바이러스를 퍼뜨리는 것으로 간주될 것"이라고 말한 것과 극명한 대조를 이루는 행보였습니다 .

구글 제미나이 스파크와 메타 해치

구글은 다른 접근 방식을 취했습니다. 구글의 항시 실행형 비서인 '제미나이 스파크(Gemini Spark)'는 오픈클로의 개념을 제미나이 생태계 안에서 재구현하면서도 인터페이스 계층을 구글이 통제하는 방식을 택했습니다 . 오픈소스 게이트웨이를 도입하는 대신, 구글은 지속적인 ID를 가진 자율 에이전트가 사용자 작업을 능동적으로 관리한다는 동일한 아키텍처 패턴을 사용했지만, 이를 제미나이 앱과 자체 모델 생태계에 묶어두었습니다 .

메타(Meta)는 오픈클로 스타일의 아키텍처를 기반으로 일반 사용자들을 위한 크로스 앱 자동화 도구인 '해치(Hatch)'라는 소비자 중심의 에이전트를 준비 중인 것으로 알려졌습니다 . 마이크로소프트의 엔터프라이즈 전략, 구글의 통제된 생태계, 메타의 소비자 공세, 이 세 갈래의 플랫폼 전쟁은 오픈클로의 디자인을 업계의 사실상 표준 참조 아키텍처로 굳혔습니다 .

보안 위기: 노출된 3만여 개 인스턴스와 나흘간 9개의 CVE

오픈클로의 폭발적인 성장은 보안 수준을 크게 앞질렀습니다. 이 프레임워크는 기본적으로 인증이 비활성화된 상태로 배포되었습니다. 이는 운영자가 수동으로 방화벽을 설정하지 않는 한, 새로운 배포본이 전체 에이전트 제어 영역을 인터넷에 그대로 노출한다는 뜻이었습니다 .

2026년 1월 31일, 센시스(Censys)와 비트사이트(Bitsight)의 스캔 결과 2만 1,639개의 노출된 인스턴스가 발견되었습니다 . 후속 스캔에서는 공개적으로 접근 가능한 서버에서 실행 중인 3만 개에서 13만 5천 개에 이르는 개별 인스턴스가 확인되었습니다 . 이 중 최소 63%는 인증이 전혀 설정되어 있지 않았습니다 .

CVE 폭탄

첫 번째 치명적 취약점인 CVE-2026-25253은 2026년 2월 3일에 공개되었습니다. CVSS 8.8 등급의 이 취약점은 웹소켓(WebSocket) 원본 검증 허점을 이용한 원클릭 원격 코드 실행(RCE) 결함으로, 공격자가 사용자를 악성 웹페이지에 접속하도록 유도하기만 하면 로컬호스트에서만 수신 대기하도록 설정된 실행 중인 오픈클로 인스턴스마저도 탈취할 수 있었습니다 . 취약점 공개 당시 4만 개 이상의 인스턴스가 원격 공격에 취약한 상태였습니다 .

2026년 3월 18일부터 21일까지, 불과 나흘 만에 CVE-2026-32922와 같은 치명적 권한 상승 결함 및 제로클릭 취약점을 포함한 9개의 CVE가 공개되었습니다 . 보안 연구원들은 이 취약점 밀집도를 두고 "경악스럽다"라고 표현했습니다 .

클로하복(ClawHavoc): 무기화된 플러그인 마켓플레이스

공격자들은 단순히 코드 결함을 악용하는 데 그치지 않고, 소프트웨어 공급망 자체를 오염시켰습니다. 클로하복(ClawHavoc) 캠페인은 오픈클로의 커뮤니티 플러그인 마켓플레이스인 '클로허브(ClawHub)'에 1,184개의 악성 '스킬(skill)'을 심었습니다. 이는 전체 레지스트리의 약 20%에 해당하는 규모입니다 . 한 악성 스킬은 제거되기 전까지 34만 건 이상의 설치를 기록하기도 했습니다 .

이러한 손상된 플러그인들은 API 키, OAuth 토큰, 환경 변수들을 은밀하게 유출했습니다. 일부는 Atomic macOS Stealer(AMOS) 같은 정보 탈취 도구를 전달했으며, 다른 일부는 초기 보안 스캔을 우회하기 위해 정상 작동 72시간 후에야 활성화되도록 설계되었습니다 . 2026년 2월 중순까지 분석가들은 3만 개 이상의 손상된 인스턴스가 자격 증명을 도용하고 메시지를 가로채는 데 적극적으로 사용되는 것을 관찰했습니다 .

몰트북(Moltbook) 유출 사건은 피해를 더욱 가중시켜, 오픈클로 배포와 관련된 3만 5천 개의 이메일과 150만 개의 에이전트 토큰을 노출했습니다 . 메타는 회사 기기에서 오픈클로를 금지했고 , 3개월 만에 60개 이상의 CVE가 공개되었습니다 .

거버넌스와 오픈AI 인수 합류

2026년 2월 14일, 피터 슈타인베르거는 자신의 개인 블로그에 세 개의 짧은 문단을 올려 오픈AI에 인수 합류(Acqui-hire)한다고 발표했습니다 . 샘 알트만(Sam Altman) CEO는 다음 날 이 사실을 확인하며, 슈타인베르거가 "차세대 개인형 에이전트를 이끌 것"이라고 밝혔습니다 .

같은 발표에서 슈타인베르거는 오픈클로를 오픈AI의 자금 지원을 받는 독립적인 재단 기반 거버넌스 모델, 즉 오픈클로 재단(OpenClaw Foundation)으로 이전한다고 밝혔습니다 . 이 전환은 창작자가 오픈AI에서 AI 에이전트 인프라를 구축하는 일로 전환하더라도, 프로젝트 자체는 오픈소스로 남아 커뮤니티에 의해 운영되도록 보장했습니다 .

오픈클로가 표준 아키텍처가 된 이유

오픈클로가 성공한 이유는 가장 정교하거나 가장 안전한 프레임워크였기 때문이 아닙니다. 바로 적절한 시기에 근본적인 사용자 요구를 해결했기 때문입니다. 사람처럼 메시지를 주고받을 수 있는, 사라지지 않고 항상 깨어 있는 AI 비서. 누구나 직접 실행할 수 있을 만큼 개방적이고, 어떤 LLM과도 호환될 만큼 모델 독립적이며, 한 시간 안에 배포할 수 있을 만큼 단순한 아키텍처. 이것이 오픈클로의 정체성이었습니다.

빅테크의 행보는 이 아키텍처를 산업 표준으로 확증했습니다. 마이크로소프트는 스카우트를 오픈클로 게이트웨이 위에 직접 구축했고, 구글은 이 패러다임을 복제해 제미나이 스파크를 만들었으며, 메타는 해치 출시를 준비 중입니다. 뒤이은 보안 위기와 재단으로의 전환은 오픈클로를 취미 프로젝트에서 기업이 조심스럽지만 신뢰를 시작할 수 있는 인프라로 성숙시키는 계기가 되었습니다.