오픈클로 밋업 다녀왔다

AI 에이전트 도구인 오픈클로(OpenClaw) 밋업에 다녀왔다. 실전 사용기, 비개발자의 활용, 보안까지 세 발표의 결이 각각 달라서 흥미로웠다.

당근마켓 CTO의 실전 사용기

에이전트의 작업을 직접 관찰해야 한다는 주장이 핵심이었다. 실제로 보니 크롬 탭을 수십 개씩 열고, 팝업 승인을 안 눌러주면 8시간째 멈춰 있기도 한다고. 에이전트를 도구가 아니라 관리 대상으로 봐야 한다는 시각이 새로웠다.

보안 쪽에서는 에이전트한테 Tailscale을 열어주면 내 네트워크 전체가 노출된다는 점을 짚으며, 오픈클로용 맥미니를 물리적으로 분리해서 “뚫려도 안전한 환경”을 만들었다고 한다. Cloudflare 로그인만 해줬는데 PayPal로 원클릭 결제를 해버린 사고도 있었는데, 에이전트에게 권한을 줄 때 얼마나 세밀하게 통제해야 하는지를 보여주는 사례였다. 프론트엔드에서 사용자 권한을 설계할 때도 비슷한 고민을 하는데, 에이전트 시대에는 그 범위가 훨씬 넓어질 거라는 생각이 들었다.

고대 근동학자의 AI 활용

가장 의외의 발표. 기원전 1500년 텍스트를 분석하는 학자가 오픈클로를 쓰고 있었다. LLM을 “기억력 좋은 초등학생”이라 표현한 게 정확하다고 느꼈다. 없는 논문을 만들어내고, 아는 척을 하고, 틀려도 개선의 정이 없다고.

그래서 프롬프트의 절반 이상이 “하지 마”였다고 한다. 없는 논문 만들지 마, 링크 없으면 말하지 마, 애매하면 침묵해. 나도 코드 생성에서 자신 있게 틀린 답을 내놓는 걸 많이 봤는데, AI를 잘 쓰는 건 “뭘 시킬지”보다 “뭘 못 하게 할지”를 아는 것에 가깝다는 생각이 든다.

오픈클로를 3번 해킹한 보안 전문가

합류한 지 1주일 된 보안 담당자인데, 합류 전에 오픈클로를 3번 해킹했다. Shodan으로 제어 서버 300개가 인터넷에 그대로 노출된 걸 찾았고, 어떤 서버에는 텔레그램 인증 정보와 시그널 계정 이전 코드까지 열려 있었다. 클로허브에서는 다운로드 수 검증이 없어서 curl 스크립트로 1시간 만에 1위를 찍었는데, 실제로 8개국 개발자들이 다운받았다. 악성 코드 대신 경고 메시지만 넣어둔 화이트햇 방식이었다.

가장 인상 깊었던 건 SVG XSS였다. 스킬 로고로 SVG를 업로드할 수 있는 기능이 있었는데, 안에 JavaScript를 심으면 브라우저 토큰을 탈취할 수 있었다. 프론트엔드 개발자로서 이건 특히 와닿았다. SVG 업로드 같은 기능은 어디서든 있을 수 있는 건데, 보안 검증 없이 열어두면 이렇게 뚫린다. 사용자 입력을 다루는 모든 곳에서 새니타이징이 얼마나 중요한지 실제 사례로 확인한 셈이다.

마무리

세 발표를 관통하는 메시지가 있었다. AI 에이전트는 강력하지만, 결국 사람이 통제하고 감시하고 제한해야 한다는 것. 당근 CTO는 물리적 격리로, 학자는 프롬프트의 “하지 마”로, 보안 전문가는 해킹으로 같은 이야기를 하고 있었다.

에이전트 시대에 개발자의 역할이 “코드를 짜는 사람”에서 “에이전트를 설계하고 통제하는 사람”으로 확장되고 있다는 걸 체감한 밋업이었다.