피터 스타인버거의 오픈클로, AI 업계의 센세이션. 오픈AI 지원, 강력한 기능, 그러나 시스템 접근 권한으로 인한 보안 위험.
오픈클로 AI 에이전트의 경고
한 달 전만 해도 피터 스타인버거의 개인 AI 사이드 프로젝트를 아는 사람은 거의 없었다. 현재 이 프로젝트는 AI 업계를 강타했고, 오픈AI의 지원까지 확보했다. 초기에는 클로드봇, 이후 몰트봇으로 불렸던 이 도구는 재브랜딩을 거쳐 오픈클로(OpenClaw)라는 이름을 얻었다.
초기 사용자에게 오픈클로는 AI 기반 도구의 잠재력을 실감하게 만든 전환점이었다. 추상적 개념에 머물던 ‘에이전트형 AI’를 현실로 구현했다는 평가가 나온다. 흥미롭고 현기증을 유발할 만큼 강렬한 도구다. 오픈클로를 처음 접한 독자라면 지금 당장은 설치하지 않는 것이 바람직하다.
오픈클로란 무엇인가
오픈클로는 호주 소프트웨어 개발자 피터 스타인버거가 개발했으며 최근 오픈AI에 인수 채용된 프로젝트다. 소프트웨어 자체는 오픈소스로 유지된다. 오픈클로는 시스템에 상주하며 이메일, 일정, 브라우저, 개인 파일 등 민감한 데이터에 접근할 수 있다.
오픈클로는 24시간 실행되는 환경에서 가장 효과적으로 작동한다. 사용자의 이름, 거주지와 직장, 시스템 환경, 가족 구성원, 선호 정보 등을 마크다운 파일 형식으로 기록해 기억한다. MEMORY.md, USER.md 파일을 통해 세부 정보를 관리한다. SOUL.md 파일을 통해 AI의 행동 방식과 표현 방식을 정의할 수도 있다. 사용자는 앤트로픽의 클로드, 챗GPT, 구글 제미나이, 기타 클라우드 기반 또는 로컬 호스팅 대규모 언어 모델 중 선택할 수 있다. HEARTBEAT.md 파일은 활동 목록을 관리하며, 매일 일정 확인, 매시간 이메일 점검, 주기적 웹 탐색 등을 수행하도록 설정한다.
기존 AI 도구와의 차별점
유사 기능을 제공하는 AI 도구는 이미 존재한다. 이메일을 정리하고 시간 단위 뉴스 요약을 제공하는 서비스도 있다. 그러나 오픈클로는 기존 AI 도구와는 다른 결정적 차별점을 갖고 있다.
첫 번째 차별점은 상호작용 방식이다. 로컬 웹 인터페이스나 명령줄 인터페이스 대신 왓츠앱, 텔레그램, 디스코드, 슬랙, 시그널, 아이메시지와 같은 메신저를 통해 작동한다. 스마트폰으로 언제 어디서나 대화할 수 있다.
두 번째 차별점은 기본 설정 기준 시스템 호스트 접근 권한이다. 사용자가 가진 시스템 수준 권한과 동일한 권한을 부여받는다. 파일 읽기, 수정, 삭제는 물론 자체 기능을 확장하기 위한 스크립트와 프로그램 작성도 가능하다. 이미지 생성 도구, RSS 피드 확인 도구, 오디오 전사 프로그램을 요청하면 다운로드 경로를 안내하는 대신 직접 생성한다.
오픈클로, 양날의 검
공식 웹사이트 표현을 빌리면 오픈클로는 “실제로 무언가를 수행할 수 있는 AI”다. 채팅 상자가 없는 챗GPT에 가깝다. AI가 작업을 수행하게 하는 도구는 이미 존재한다. 노코드 편집기를 통해 프롬프트 기반으로 소프트웨어와 웹사이트를 구축할 수도 있다. 앤트로픽 클로드 코드, 오픈AI 코덱스, 구글 앤티그래비티는 사용자가 과정을 지켜보는 구조다. 반면, 오픈클로는 사용자가 업무 중이거나 잠든 동안 자율적으로 작동하는 것을 목표로 한다. 진정한 AI 에이전트에 가깝다.
가능성은 분명하다. 오픈클로와 그 유사 도구, 생태계 확장은 불가피해 보인다. AI 에이전트는 향후 기술 지형을 주도할 가능성이 크다. 그러나 준비되지 않은 상태에서 오픈클로를 실행하는 것은 심각한 위험을 동반한다.
문제는 시스템 접근 권한 수준이다. 오픈클로는 사용자가 수행하는 거의 모든 작업을 볼 수 있고 동일한 작업을 실행할 수 있다. 파일이나 디렉터리 전체 삭제까지 가능하다. 단 한 번의 환각 오류로 데이터 손상이 발생할 수 있다.
행동을 제어하는 규칙 체계와 보안 강화 조치가 적용됐으며, 기본적으로 지정된 워크스페이스 디렉터리로 접근이 제한된다. 그러나 설정 변경은 어렵지 않다. 리눅스의 슈퍼유저 명령인 sudo를 부주의하게 사용할 경우 사실상 전면적 권한이 부여될 수 있다. 또한 프롬프트 인젝션 공격에 취약하다는 지적이 나온다. 공격자는 대규모 언어 모델이 보호 장치를 무시하도록 유도해 개인 데이터 유출, 백도어 설치, 루트 권한 삭제 명령 실행 등 파괴적 행위를 유발할 수 있다. 검증되지 않은 서드파티 플러그인 생태계 역시 보안 취약점이나 악성 코드 은닉 가능성을 안고 있다.
신중한 접근 필요
오픈클로의 가장 큰 매력은 동시에 가장 큰 위험 요소이기도 하다. HEARTBEAT 기능을 통해 하루 종일 작동하며 사용자의 제안을 확장 실행한다. 맥락 이해와 추론 능력이 부족한 저가형 또는 무료 대규모 언어 모델과 결합할 경우 예기치 않거나 파괴적 결과로 이어질 수 있다.
필자 역시 대규모 언어 모델을 일정 수준 이상 활용해 온 사용자이지만 아직 개인 PC에 오픈클로를 완전히 설치하지 않았다. 격리된 도커 컨테이너 환경에서 시험적으로 실행하고, 디스코드를 통해 대화하며, 제미나이와 앤티그래비티 도움을 받아 자체 버전 개발을 시도하는 정도다.
시스템 전반 권한이 가진 잠재력은 분명하다. 동시에 그 권한은 불안 요소다. 오픈클로가 제공하는 힘은 충분히 주의 깊게 다뤄야 한다.
