OpenClaw가 당신의 메시징 앱에 AI 에이전트를 탑재합니다. 어려운 점은 신뢰 경계(trust boundary)입니다

당신의 DM을 읽고 셸(shell)을 실행할 수 있는 에이전트

당신의 WhatsApp을 읽고 노트북에서 셸 (shell) 명령어를 실행할 수 있는 AI 어시스턴트는 올해 당신이 설치한 것 중 가장 유용한 것이거나, 가장 위험한 것이 될 것입니다. OpenClaw는 후자가 되지 않으면서 전자가 될 수 있다는 데 베팅하고 있으며, 11월 말 이후로 이를 확인하고 싶어 하는 사람들로부터 약 380,000개의 GitHub 스타를 모았습니다.

OpenClaw는 셀프 호스팅(self-hosted) 방식의 단일 사용자 개인 비서입니다. 당신의 자체 기기에서 실행되며, 당신이 이미 사용 중인 채널을 통해 답변을 제공합니다. README는 그 형태에 대해 직설적으로 설명합니다. Gateway는 단지 컨트롤 플레인 (control plane)일 뿐이며, 실제 제품은 어시스턴트 (assistant)라는 것입니다. 이 한 문장이 엔지니어링이 어디에 집중되었는지를 말해줍니다.

실제로 얻게 되는 것

핵심은 도달 범위입니다. OpenClaw는 WhatsApp, Telegram, Slack, Discord, Signal, iMessage, Microsoft Teams, Matrix, WeChat을 포함하여 약 24개의 메시징 인터페이스에 연결되며, 내장된 웹 채팅도 제공합니다. macOS, iOS, Android에서 말하고 들을 수 있으며, Voice Wake를 통한 웨이크 워드 (wake words) 기능과 Talk Mode를 통한 연속 대화 기능을 지원합니다. 필요에 따라 ElevenLabs에서 시스템 텍스트 음성 변환 (text-to-speech)으로 전환됩니다. 에이전트가 그림을 그릴 수 있는 Live Canvas가 있으며, Windows, macOS 및 모바일용 컴패니언 앱도 제공됩니다.

설정은 전역 npm 설치와 하나의 온보딩 (onboarding) 명령으로 이루어집니다:

npm install -g openclaw@latest
openclaw onboard --install-daemon

이렇게 하면 Gateway가 launchd 또는 systemd 사용자 서비스로 등록되어 백그라운드에서 계속 실행됩니다. Node 24 또는 최소 22.19 버전을 필요로 합니다. 멀티 에이전트 라우팅 (Multi-agent routing)은 서로 다른 채널, 계정 또는 연락처를 격리된 에이전트로 전송하며, 각 에이전트는 자신만의 워크스페이스 (workspace)와 세션 (sessions)을 가집니다. 이를 통해 여러 대화가 진행되더라도 하나의 설치 환경 내에서 조직적으로 유지될 수 있습니다.

신뢰 경계 (trust boundary)가 진짜 제품입니다

여기는 두 번 읽어야 할 부분입니다. OpenClaw는 유능한 에이전트를 실제 수신함(inbox)에 연결하며, README에서는 모든 수신 DM(Direct Message)을 신뢰할 수 없는 입력(untrusted input)으로 취급합니다. 기본적으로 Telegram, WhatsApp, Signal, iMessage, Teams, Discord, Google Chat, Slack의 알 수 없는 발신자는 페어링 게이트(pairing gate)에 부딪힙니다. 이들은 짧은 코드(short code)를 받게 되며, 사용자가 openclaw pairing approve 명령어로 승인하기 전까지 봇은 그들의 메시지를 무시합니다. 어시스턴트를 대중에게 공개하는 것은 가능하지만 의도적이어야 하며, 공개 DM 정책(open DM policy)과 허용 목록(allowlist)의 와일드카드(wildcard) 설정이 모두 필요합니다.

도구 접근(tool-access) 기본 설정도 동일한 주의를 기울여야 합니다. 사용자의 개인 main 세션의 경우, 도구들이 호스트에서 직접 실행되므로 오직 사용자 본인만 있을 때는 에이전트가 모든 권한을 가집니다. 다른 사람들이 에이전트에 접근할 수 있는 순간, 사용자는 non-main 세션을 sandbox.mode: "non-main"을 통해 샌드박스(sandbox)로 이동시켜야 합니다. Docker가 기본 샌드박스 백엔드이며, 기본 정책은 파일 및 프로세스 도구는 허용하되 브라우저(browser), 캔버스(canvas), cron, 그리고 게이트웨이(gateway) 자체는 차단합니다. openclaw doctor 명령은 위험한 DM 정책을 표시하며, 이 모든 기능이 공개 인터넷에 노출되기 전에 읽어야 할 노출 대응 런북(exposure runbook)이 마련되어 있습니다.

모델, 기술(skills), 그리고 실행

OpenClaw는 제공자 불가지론(provider-agnostic)을 유지합니다. OAuth를 통해 모델 제공자(model provider) 인증을 수행하며, OpenAI 구독 지원을 포함하고 있습니다. 유지 관리자들은 사용자가 이미 신뢰하고 있는 제공자의 최신 플래그십 모델을 사용할 것을 권장하며, 하나의 백엔드가 다운되었을 때를 대비해 인증 프로필 순환(auth-profile rotation) 및 페일오버(failover) 기능을 제공합니다. 동작은 기술(skills)을 통해 확장되며, 이 기술들은 번들로 제공되거나, 관리되거나, 또는 ClawHub의 레지스트리(registry)를 통해 사용자의 워크스페이스에서 정의될 수 있습니다.

적용 위치 및 주의 사항

OpenClaw는 설계 단계부터 단일 사용자(single-user)를 대상으로 하므로, 이는 팀 단위 배포가 아닌 파워 유저를 위한 개인용 비서입니다. 발전 속도는 매우 공격적입니다. 대략 80,000개의 포크(fork)와 6,000개 이상의 오픈 이슈(open issues)는 이 프로젝트가 공개적으로 형성되고 있으며 여전히 빠르게 움직이고 있음을 보여주며, 이는 곧 잦은 변경(churn)을 의미합니다. 핵심적인 리스크는 README에서 계속해서 언급되는 바로 그 지점입니다. 당신은 언어 모델(language model)에게 당신의 개인적인 통신 내용, 그리고 잠재적으로는 호스트 머신(host machine)에 대한 상시적인 발판을 제공하는 것이므로, 샌드박스(sandbox) 및 페어링(pairing) 설정은 선택적인 보안 강화(hardening) 사항이 아니라 제품의 핵심 결정 사항입니다. README의 배지에는 MIT 라이선스로 표시되어 있지만, 이를 기반으로 구축하기 전에 LICENSE 파일과 제3자 고지 사항을 자신의 사용 목적과 대조하여 확인하십시오. 개인용 AI 에이전트가 어디로 향하고 있는지 알고 싶다면, OpenClaw를 샌드박싱(sandboxing)을 켠 상태로 여분의 기기에서 실행해 볼 가치가 있으며, 그 신뢰 설정(trust settings)을 인터넷에 노출된 서버를 다루듯 주의 깊게 다루어야 합니다.

GitHub: https://github.com/openclaw/openclaw