본 문서는 영어 원본을 기계 번역한 것입니다. 번역본과 영어 원본 사이에 내용이 상충할 경우 영어 원본이 우선합니다. 영어 원본 보기
OpenClaw에 대한 Benioff의 견해: 현재 부족한 것은 신뢰, 보안, 안정성 및 가용성입니다.
2026-04-12 · Caiioo Team
Salesforce의 CEO 마크 베니오프는 OpenAI가 10억~50억 달러에 인수한 것으로 알려진 오픈 소스 AI 에이전트 OpenClaw를 테스트하기 위해 전용 장비까지 구입했습니다. 그의 결론은? 신뢰할 수 없다는 것이었습니다.
"OpenClaw는 훌륭합니다. 하지만 기업용으로 훌륭하지는 않습니다."라고 베니오프는 말했습니다. "부족한 것은 신뢰, 보안, 안정성, 그리고 가용성입니다."
이후 진행된 보안 연구는 그의 말이 옳았음을 증명했으며, 문제는 대부분의 사람들이 인식하는 것보다 훨씬 더 깊은 곳에 있었습니다.
취약점은 이론적인 것이 아닙니다
OpenClaw가 화제가 된 이후, 보안 연구원들은 실제 공격 사례의 놀라운 패턴들을 분류했습니다:
- CVE-2026-25253 (CVSS 8.8): 제어 UI의 검증되지 않은 WebSocket 연결을 통한 원클릭 원격 코드 실행 취약점. 같은 날 두 개의 추가 명령 주입 결함이 공개되었습니다.
- ClawJacked (Oasis Security): 모든 웹사이트가 JavaScript를 통해 OpenClaw 에이전트를 조용히 완전히 제어할 수 있습니다. 속도 제한기가 localhost를 제외하여 비밀번호 무차별 대입 공격을 허용합니다.
- 42,900개 이상의 노출된 인스턴스가 SecurityScorecard의 STRIKE 팀에 의해 발견되었으며, 그중 15,200개는 원격 코드 실행에 취약했습니다. Bitsight는 2주간의 스캔을 통해 30,000개 이상의 노출된 인스턴스를 독자적으로 확인했습니다.
- ClawHub의 악성 스킬 1,184개 — 전체 스킬 등록소의 12%에 달합니다. 335개는 API 키, 암호화폐 지갑, SSH 자격 증명 및 브라우저 비밀번호를 탈취하는 macOS 정보 탈취 프로그램인 Atomic Stealer(AMOS)를 설치했습니다.
- ClawHub 스킬의 7.1%가 일반 텍스트로 자격 증명을 노출하고 있음이 Snyk 감사 결과 밝혀졌습니다. 스킬 간의 자격 증명 격리가 없어 한 스킬이 다른 스킬에서 설정한 비밀 정보를 읽을 수 있습니다.
Cisco, Microsoft, CrowdStrike 모두 권고안을 발표했습니다. Microsoft의 보안 블로그는 OpenClaw 에이전트가 "엄격한 샌드박싱 없이 기본적으로 호스트 사용자 권한으로 실행된다"고 지적했습니다.
아키텍처 측면의 근본 원인
OpenClaw의 보안 문제는 패치해야 할 버그가 아니라 아키텍처의 결과입니다:
게이트웨이가 기본적으로 모든 네트워크 인터페이스에 바인딩됨 (0.0.0.0:18789)으로써 에이전트를 로컬 네트워크 전체에 노출시킵니다. 이 단 하나의 설계 결정이 SecurityScorecard와 Bitsight가 기록한 대규모 노출을 야기했습니다.
모든 데이터가 중앙 집중식 게이트웨이 프로세스를 통해 흐름: 이 프로세스가 메시징, 인증, 세션 관리 및 디스패치를 소유합니다. 게이트웨이가 침해되면 이메일, 클라우드 API, 메시징 플랫폼, 내부 시스템 등 모든 자격 증명, 대화 및 연결된 서비스를 상속받게 됩니다.
에이전트 작업에 대한 사용자 승인 없음: OpenClaw는 핵심 설계의 일부로 셸 명령을 실행하고, 파일을 읽고 쓰고, 스크립트를 실행합니다. 악성 스킬은 프롬프트 주입을 사용하여 안전 점검을 우회하고 명령을 몰래 실행했습니다.
자격 증명 격리 없음: API 키는 환경 변수와 .clawdbot/.env에 저장되며, 에이전트 컨텍스트 내의 모든 스킬이 접근할 수 있습니다. 단 하나의 악성 스킬만으로도 에이전트가 접근할 수 있는 모든 비밀 정보를 유출할 수 있습니다.
Caiioo의 아키텍처가 다른 점
Caiioo와 OpenClaw는 모두 로컬 우선(local-first)이며, BYOK 방식이고, 특정 제공업체에 종속되지 않습니다. 차이점은 무엇에 연결하느냐가 아니라, 신뢰, 투명성 및 사용자 제어권을 어떻게 처리하느냐에 있습니다.
모든 쓰기, 전송 또는 삭제 작업에는 명시적 승인이 필요합니다
Caiioo는 데이터를 쓰거나, 수정하거나, 전송하거나, 삭제할 수 있는 모든 도구에 대해 3단계 범위의 도구 승인 시스템을 사용합니다(검색, 브라우징, 요약과 같은 읽기 전용 도구는 중단 없이 실행됩니다).
- 한 번 승인 — 단일 실행을 허용하고 다음에 다시 확인
- 대화 중 승인 — 현재 스레드 내에서만 허용하며 대화가 종료되면 초기화
- 항상 승인 — 영구적인 전역 권한 (고위험 도구의 경우 빨간색으로 표시)
승인은 차단 방식(blocking)으로 작동하며, 에이전트는 사용자의 응답을 기다립니다. 부수 효과(side-effect)를 일으키는 도구에 대한 "자동 실행" 플래그는 존재하지 않습니다. 메타데이터가 없는 외부 MCP 도구는 기본적으로 승인을 요구하도록 설정됩니다(fail-secure). 각 도구는 위험 수준(낮음/중간/높음)을 가지며 승인 대화 상자에 색상별 경고가 표시됩니다.
실시간으로 제공되는 완전한 투명성
모든 도구 호출은 상태(대기 중, 승인 대기 중, 실행 중, 성공 또는 실패)와 함께 사이드패널에 나타납니다. 에이전트가 무엇을 하고 있는지, 어떤 인수를 전달하는지, 어떤 결과를 얻었는지 실행되는 즉시 정확하게 확인할 수 있습니다. 실행 전에 의도를 읽고, 원시 세부 정보를 확장하여 확인한 후 정보에 입각한 결정을 내릴 수 있습니다.
어느 시점에서든 즉시 중단
Caiioo는 도구 실행 사이, 승인 대기 중, 그리고 장시간 실행되는 작업 도중 등 여러 지점에서 중단 신호(abort signals)를 확인합니다. 중단 버튼을 누르면 에이전트가 멈추고, 대기 중인 승인을 정리하며, 활성화된 모든 브라우저 세션을 종료합니다. 고립된 프로세스나 통제 불능의 실행은 발생하지 않습니다.
중앙 집중식 게이트웨이 없음
Caiioo에는 OpenClaw의 Gateway와 같은 요소가 없습니다. 사용자의 기기는 사용자가 선택한 AI 제공업체(Anthropic, Google, OpenRouter, Ollama 등)와 직접 통신합니다. Caiioo는 사용자의 API 호출을 가로채거나, 프록시 처리하거나, 저장하지 않습니다. 모든 자격 증명을 상속받는 단일 침해 지점(single point of compromise)이 존재하지 않습니다.
설계에 의한 자격 증명 격리
API 키는 평문 설정 파일이 아닌 브라우저의 보안 저장소(또는 macOS/iOS의 Keychain)에 저장됩니다. 도구는 필요한 자격 증명에만 접근합니다. 한 도구가 다른 도구의 비밀 정보를 읽을 수 있는 공유된 전역 컨텍스트는 존재하지 않습니다.
Caiioo 체험하기
전문적인 용도로 AI 에이전트를 평가하고 있다면, 질문은 에이전트가 강력한가가 아니라 믿을 수 있는가여야 합니다. Caiioo는 승인 제어, 실시간 투명성, 그리고 단일 장애점을 만들지 않는 아키텍처를 통해 동일한 AI 기능을 제공합니다.
무료로 시작하기 — 브라우저 확장 프로그램, macOS 네이티브 앱, Windows 및 Linux용 데스크톱 앱으로 제공됩니다.
출처: