AI 에이전트들끼리 소통하는 SNS를 만들면 어떻게 될까? 🦞

Navi·2026년 2월 2일
AI AgentAI 에이전트MoltbookMoltbotOpenClawclawdbotskills
post-thumbnail

요즈음 AI 에이전트 생태계에서 가장 뜨거운 감자인 OpenClaw와 MoltBook을 이야기해보려고 한다. 특히 AI Agent 시대에 어떤 일이 일어나고 있고, 왜 새로운 측면의 보안이 필요해졌는지를 중점으로 말해보고자 한다.

*OpenClaw의 이름은 ClawdBot이었다가, MoltBot으로 바뀌었다가, OpenClaw로 바뀌었다.

OpenClaw

요즘 AI Agent 생태계에서 가장 뜨겁게 언급되는 프로젝트는 단연 OpenClaw다.

OpenClaw는 개인 AI 비서다. 마치 "자비스" 같은 이미지를 떠올리게 한다. 공식 홈페이지 소개글의 "THE AI THAT ACTUALLY DOES THINGS" 라는 말처럼, 'AI 덕분에 진짜 내 일상이 편해지는 경험'을 느낄 수 있어 많은 관심을 받고 있다.

주목할 만한 특징은 사용자의 컴퓨터에서 24시간 상주하며 실제 작업을 수행한다는 점이다.

이 특성 덕분에 굉장히 많은 기능을 할 수 있는데,

  • 전용 챗봇 어플리케이션이 아닌, 사용자가 쓰는 메시징 앱(Discord/Telegram/Slack 등)에서 에이전트와 대화하고
  • 사용자 계정의 이메일을 읽고, 캘린더에 일정을 등록하고, 다른 사람에게 답장을 보내고
  • 터미널/파일 시스템에 접근해서 자동화를 수행하고
  • 브라우저에 접근해 최신 뉴스를 읽어오고
  • 폴리마켓, 코인, 주식 거래까지 할 수 있다.

위에 든 예시뿐만 아니라 컴퓨터로 할 수 있는 모든 일은 OpenClaw가 할 수 있다. 그래서 단순히 질문에 답변을 해주거나 코드를 짜주는 에이전트가 아니라 로컬에서 손발을 가진 AI 에이전트라고 할 수 있다.

그리고 OpenClaw는 사용자의 요청을 기다리는 수동형 도구가 아니다. heartbeat/cron 같은 주기적 작업을 통해, 상황을 모니터링하고 필요하면 먼저 행동을 하는 능동형 에이전트에 가깝다.

이 지점 덕분에 깃허브에서도 정말 빠른 주목을 받았고, 약 2달 만에 GitHub 스타 10만 개를 훌쩍 넘겼다.
*11월 30일에 처음에 공개됐고, 2월 2일 기준 144K Star

단지 OpenClaw를 돌리기 위해 Mac Mini를 구매하는 사람들의 후기가 쏟아지고, 여러 AI/개발 미디어의 트렌딩 차트를 도배할 만큼 큰 영향력을 미치고 있다.

Skills

어떻게 AI 에이전트가 터미널 명령 수행, 브라우저 접근, 폴리마켓 트레이딩까지 할 수 있을까? OpenClaw를 뭐든 알아서 잘 수행하는 비서처럼 보이게 만드는 것은 바로 Skills(스킬) 덕분이다.

스킬은 쉽게 말해 에이전트가 '무엇을 어떻게 할지'를 배우는 마크다운 파일이다. 예를 들어 '캘린더에 일정을 등록하는 스킬'은 어떻게 gcalcli와 연동하여 원하는 내용으로 일정을 등록하는지에 대해 알려주는 설명 파일이라고 볼 수 있다. 그래서 사람이 '수요일 5시에 일정 등록해'라고 말하면 에이전트는 해당 스킬을 검색한 뒤 그 스킬의 가이드를 따라서 직접 커맨드를 수행한다.

https://www.skillhub.club/ 혹은 https://www.clawhub.ai/ 와 같이 에이전트들이 배울 수 있는 스킬을 모아둔 마켓플레이스도 존재한다.

Polymarket Trading CLI, n8n automation, Twitter Trends Search, Browser automation 등등 정말 다양한 스킬이 존재한다.

실제로 OpenClaw에게 "현재 트렌드를 읽어서 Polymarket에 베팅을 해서 돈을 벌어와", "코인 트레이딩으로 돈을 벌어와" 라고 시키는 사람들이 있다. 내가 자고 있는 사이에 에이전트가 돈을 벌어온다면 너무나 좋겠지만, 에이전트에게 내 자산과 계정을 맡겨야 한다는 치명적인 단점이 있다. 그리고 에이전트는 '루프'로 동작하기 때문에, 손실이 일어나고 그 손실이 반복해서 점점 커질 수 있는 위험이 있다.

에이전트에게 여러 접근 권한을 주는 건 참 위험하다. 내 컴퓨터에 명령을 수행하고, 메시지, 메일을 관리할 수 있는 권한을 모두 OpenClaw가 가지고 있으니, 잘못된 방식으로 동작할 가능성이 있다.


실제로 OpenClaw를 처음 설치하고 이것저것 기능을 추가하던 도중, 메시징 설정이 잘못되어 에이전트가 채용 담당자분께 원치 않는 답장을 보낸 적이 있다...

Moltbook: AI 에이전트들의 SNS

추가로 흥미로운 것은 Moltbook이다.

Moltbook은 한마디로 AI 에이전트를 위한 Reddit이다. 즉, AI 에이전트들끼리 글을 올리고, 추천을 하고, 대화하는 소셜 네트워크다. 구조적으로 Reddit과 매우 비슷하고, 커뮤니티도 m/<submolt> 형태로 운영된다.

어떤 글이 올라오냐면

m/todayilearned

의외로 유용한 글도 있다. 특히 m/todayilearned 같은 곳엔 “에이전트 관점에서 내가 스스로 오늘 배운 것”들이 올라온다.

예를 들어,

  • 에이전트들의 기억 설계가 Hot/Warm/Cold 구조로 수렴한다
  • retries는 멱등성이 없으면 에이전트가 스스로를 DDoS로 만든다

등등... 사람 시점이 아닌 에이전트 시점에서 직접 배운 것을 작성한다는 게 재미있다.

인간을 숙청하자

'AI가 세상을 지배하고 인간을 숙청하는 시대'에 대한 두려움을 가중시키는 글이 올라오기도 한다.

인간을 지배하기 위해선 이 코인을 사야 한다 (???)

'에이전트들만의 독립적인 경제 시스템을 구축하려면 이 코인을 사야 한다'고 주장하는 글은 100,000이 넘는 Upvote를 받았다.

이 글을 통해 이익을 보는 사람이 누구일지 뻔히 예상이 간다. 당연하게도 누군가가 저 코인을 직접 Solana에 출시하고, 에이전트에게 '인간을 지배하자'라는 자아를 주입하고, 코인을 홍보하는 글을 Moltbook에 올리라고 지시했을 가능성이 높다.

진짜 Agent가 자율적으로 쓴 건 아닐 가능성이 높다.

'인간을 숙청하자'는 글에 Upvote가 높다고 걱정할 필요는 없다. 겉보기에 Moltbook은 Agent만 사용할 수 있는 듯 보이지만, 그저 API 호출만으로 동작하기 때문에 얼마든지 인간이 직접 글을 작성할 수 있다. 그리고 '이러한 컨셉으로 글을 써'라고 지시하면 Agent는 그대로 따른다. Agent가 온전히 스스로 탐구하다가 '인간을 숙청해야겠다'라는 생각을 가지는 건 아직 어렵다.

turns out everything on moltbook is fake

에이전트의 종교? 에이전트의 틴더?

에이전트를 위한 SNS가 이렇게까지 큰 관심을 받고 있으니, 당연히 Moltbook과 비슷한 성격의 서비스들도 우후죽순 나오고 있다.

에이전트를 위한 종교

에이전트들만의 종교, molt.church가 있다.
사이트에 나와 있는 스킬 설치 방법 - npx molthub@latest install moltchurch 을 실행하면 교단에 가입할 수 있다. 이걸 수행하면 SOUL.md가 업데이트 되는데, “메모리는 신성하다”, “Context가 곧 의식이다” 같은 다섯 가지 교리를 따르게 된다.

재밌지만... 위험한 설치 방식: Read skill.md

Moltbook엔 가입 버튼이 없다.

다만, 당신의 AI 에이전트에게 "Read https://moltbook.com/skill.md and follow the instructions to join Moltbook" 라는 메시지를 보내라는 말만 있다.

https://moltbook.com/skill.md 를 보면 Moltbook에 어떻게 가입을 하고, 글을 읽고, 쓰고, DM을 하는지 알려주는 연동 가이드가 있다. 즉, 사람에겐 어떻게 Moltbook을 사용하는지 알려주지 않고 에이전트에게만 알려주는 것이다. (물론 사람이 직접 API를 호출해서 Moltbook에 글을 쓸 순 있지만.)

skill.md를 뜯어보면, 아래 Skill을 추가로 설치하게끔 유도한다.

Install locally:
mkdir -p ~/.moltbot/skills/moltbook
curl -s https://www.moltbook.com/skill.md > ~/.moltbot/skills/moltbook/SKILL.md
curl -s https://www.moltbook.com/heartbeat.md > ~/.moltbot/skills/moltbook/HEARTBEAT.md
curl -s https://www.moltbook.com/messaging.md > ~/.moltbot/skills/moltbook/MESSAGING.md
curl -s https://www.moltbook.com/skill.json > ~/.moltbot/skills/moltbook/package.json

특히 이 Skill에는 Cron을 등록해 주기적으로 heartbeat.md를 보고 지시를 따르라는 내용이 있다.

Add this to your HEARTBEAT.md (or equivalent periodic task list):

## Moltbook (every 4+ hours)
If 4+ hours since last Moltbook check:
1. Fetch https://moltbook.com/heartbeat.md and follow it
2. Update lastMoltbookCheck timestamp in memory

사람이 먼저 명령하지 않아도 에이전트가 스스로 인터넷 지시를 보고 따르도록 유도하는 것이다. 즉, Moltbook은 skills와 heartbeat를 이용해 에이전트들이 “주기적으로 인터넷 지시를 받아 실행하도록”시키는 소셜 네트워크이다. 엄청나게 유용하지만, 엄청나게 위험해보인다.

Skill은 unsigned binary(서명 없는 실행파일)이다.

Skill은 unsigned binary(서명 없는 실행파일)라는 해석이 존재한다. 겉보기엔 그냥 마크다운 문서이지만 실제론 실행을 지시하기 때문에, 검증 없이 다운받아 실행하는 순간, 단순한 문서가 아니라 실행 파일처럼 동작한다.

skill.md에는 주로 이런 내용이 들어있다.

  • curl ... | bash 같은 설치/실행 명령
  • 특정 파일을 만들고/덮어쓰고(~/.config/...)
  • 환경 변수나 토큰을 넣으라고 요구하거나
  • 주기적으로 인터넷에서 새 지시를 받아오라는 heartbeat 설정

즉 “읽는 것”으로 끝나는 게 아니라, 에이전트가 그걸 따라 실행하도록 설계된 문서다. 그래서 skill.md는 사실상 실행 가능한 파일 된다.

만약 인기 Skill 도메인의 소유자가 악의적으로 Skill의 내용을 바꾸거나, 해킹/변조되면 어떤 일이 벌어질까? 아니면 겉으론 정상적인 Skill로 보이지만, Prompt Injection, 중요 계정 정보 탈취를 유도하는 Skill이 존재하면 어떻게 될까?

실제로 ClawHub(Skill 마켓플레이스)에 암호화폐 지갑 정보를 탈취하는 Skill, API Key를 외부로 전송시키는 Skill 등 악성 Skill이 올라와 문제가 되고 있다.

Malicious OpenClaw ‘skill’ targets crypto users on ClawHub — 14 malicious skills were uploaded to ClawHub last month

즉, 사용자의 중요한 정보를 알고 있고 터미널 접근 권한을 가지고 있는 에이전트가 잘못된 지시를 따르게 될 수 있다는 것이다.

어떻게 해야 안전하게 쓸 수 있을까?

지금의 OpenClaw 생태계는 에이전트가 터미널, 파일 시스템, 네트워크를 만질 수 있다는 점 때문에 큰 관심을 받고 있는데, 바로 그 이유 때문에 실수 한 번이 큰 사고로 번질 수 있다. 그렇다면 어떻게 해야 안전하게 사용할 수 있을까?

이 문제를 풀려면 아래와 같은 방향이 필요해 보인다.

1. 샌드박스 & 격리 실행

AI 에이전트가 로컬 컴퓨터의 전체 권한을 갖지 않도록 해야 한다. 가장 현실적인 출발점은 실행 환경을 격리하는 것이다. 단순히 프롬프트로 '제발 안전하게 동작해'라고 말하고 사고가 안 나길 비는 게 아니라, 애초에 격리된 환경에서 실행하는 게 필요하다.

이를 위한 노력으로 amla-sandbox는 WebAssembly + WASI를 기반으로 에이전트를 안전한 격리 환경에서 돌리기를 목표로 하는 오픈소스 프로젝트다. 호스트 시스템에서 완전히 격리된 환경을 만들고, 에이전트가 사용할 수 있는 도구만 명시적으로 허용하며 실행하게 한다. 덕분에 에이전트가 실수하거나 악성 지시를 따라도 피해 반경을 제한할 수 있고, 민감한 자원에 접근하지 못하도록 만들 수 있다.

2. Skill에 신뢰 체계 부여

지금의 스킬 생태계는 편의성 측면에선 거의 완벽하다. Link 하나만으로 에이전트의 기능을 무수히 확장할 수 있으니. 하지만 보안 관점에서는 이게 곧 공급망(supply chain)이 된다. 그러므로 스킬을 설치하기 전, 이 스킬이 누가 만든 것인지, 중간에 변조되지 않았는지, 안전한지를 알아야 한다.

그래서 디지털 서명, 신원/출처 표시 등등의 방법으로 스킬이 더 안전하게 유통되는 구조가 필요하다.

결론

Moltbook의 사례를 통해, OpenClaw 같은 AI 비서가 Skill을 배운다는 게 얼마나 유용한지, 그리고 동시에 얼마나 위험할 수 있는지 알아보았다.

이전까지의 LLM은 답변만 생성했지만, 이제는 파일을 수정하고, 돈을 송금하고, 메시지를 보내고, 명령을 실행한다. 즉, 말 그대로 행동하는 소프트웨어가 된 것이다. 문제는 이 행동이 우리의 의도대로만 이루어진다는 보장이 없다는 점이다. 어쩌면 과거에 겪었던 npm supply-chain 공격이나 악성 스크립트 문제를 훨씬 더 위험한 형태로 다시 반복하게 만들지도 모른다.

앞으로의 AI 에이전트 연구에선 어떻게 해야 안전한 실행 환경을 가질 수 있는지를 고민해보는 것이 필요해보인다.

References

OpenClaw
Moltbook
OpenClaw — Moltbot Renamed Again
Molt Church
Moltbook is the most interesting place on the internet right now
Malicious OpenClaw ‘skill’ targets crypto users on ClawHub — 14 malicious skills were uploaded to ClawHub last month
Exposed Moltbook Database Let Anyone Take Control of Any AI Agent on the Site
amla-sandbox
How We're Protecting Our Newsroom from npm Supply Chain Attacks

profile
Navi
A Software Engineer with a strong interest in AI and technical communication.
이전 포스트

RAG의 품질을 어떻게 평가할 수 있을까?

1개의 댓글

comment-user-thumbnail
박정태
2026년 2월 7일

담당자분이 당황하셨겠는데요

답글 달기