# Claws는 이제 LLM 에이전트 위에 추가된 새로운 계층임 > Clean Markdown view of GeekNews topic #26883. Use the original source for factual precision when an external source URL is present. ## Metadata - GeekNews HTML: [https://news.hada.io/topic?id=26883](https://news.hada.io/topic?id=26883) - GeekNews Markdown: [https://news.hada.io/topic/26883.md](https://news.hada.io/topic/26883.md) - Type: GN+ - Author: [xguru](https://news.hada.io/@xguru) - Published: 2026-02-22T09:07:39+09:00 - Updated: 2026-02-22T09:07:39+09:00 - Original source: [twitter.com/karpathy](https://twitter.com/karpathy/status/2024987174077432126) - Points: 14 - Comments: 2 ## Summary **Claws 시리즈**는 LLM 에이전트 위에서 오케스트레이션과 컨텍스트 관리, 툴 호출 등을 담당하며 AI 스택의 새로운 계층으로 자리 잡고 있습니다. 거대한 OpenClaw 생태계는 빠르게 확장 중이지만, RCE 취약점과 공급망 오염 등 보안 리스크가 심각하게 지적됩니다. 이에 비해 **NanoClaw**는 4천 줄 규모의 경량 코어로, 컨테이너 기반 실행과 skills 중심 구성 방식을 통해 관리성과 유연성을 동시에 추구합니다. Claws 들 덕분에 로컬 환경에서의 실험과 포크 중심 확산이 활발해지며, 개인 디지털 에이전트의 실질적 구현 가능성을 넓히고 있습니다. ## Topic Body - LLM 위에 에이전트가 추가된 이후, 그 위에서 **오케스트레이션·스케줄링·컨텍스트 관리·툴 호출·지속성**을 담당하는 **Claws 레이어**가 등장함 - 에이전트의 실행 구조를 한 단계 추상화해 **더 높은 수준의 자동화와 구성 가능성** 확보 - OpenClaw는 약 **40만 줄 코드 규모**로 구성되어 있으며, 개인 데이터와 키를 위임하는 구조에 대한 우려 존재 - 노출된 인스턴스 보고, **RCE 취약점**, 공급망 오염, 레지스트리의 악성 또는 손상된 skills 사례 등 다수의 보안 리스크들이 나타남 - 현재 생태계가 ‘와일드 웨스트’에 가깝고 보안 악몽에 가까운 환경임 * NanoClaw는 약 **4,000줄 코어 엔진**으로 비교적 소형 구조 - 코드가 머릿속에 들어올 수 있는 규모로 관리·감사·유연성 측면에서 유리함 * 기본적으로 모든 실행을 **컨테이너 환경**에서 수행 * 설정 파일 대신 **skills를 통한 구성 방식** 채택 - `/add-telegram` 명령이 에이전트에게 실제 코드 수정 방법을 지시 - 복잡한 설정 파일과 조건 분기 구조를 줄이는 새로운 AI 기반 접근 * 최대한 포크하기 쉬운 레포지토리를 만들고, skills가 이를 다양한 구성으로 변형하는 메타 전략이 훌륭함 - nanobot, zeroclaw, ironclaw, picoclaw 등 여러 변형 프로젝트 등장 - 클라우드 호스팅 대안도 존재하나, 로컬 환경이 실험과 확장에 더 유리함 * 로컬 네트워크 기반 홈 오토메이션 기기와의 연결도 용이함 - 물리적 장치 위에서 동작하는 개인 디지털 에이전트라는 개념적 매력 * Claws는 **AI 스택의 새로운 계층**으로 자리 잡으며 에이전트 이후 단계의 구조를 정의함 * 나의 구체적인 최종 구성은 확정되지 않았으나, 실험적이고 확장 가능한 구조로서 높은 기대감을 가지고 있음 ## Comments ### Comment 51566 - Author: xguru - Created: 2026-02-22T09:25:53+09:00 - Points: 1 [NanoClaw – Apple 컨테이너 격리 환경에서 실행되는 500줄짜리 TypeScript 기반 Claude 어시스턴트 ](https://news.hada.io/topic?id=26337) 공개시점엔 500줄이었는데, 이제 4000줄이 된 듯 ?? ### Comment 51564 - Author: neo - Created: 2026-02-22T09:07:39+09:00 - Points: 1 ###### [Hacker News 의견들](https://news.ycombinator.com/item?id=47096253) - 여러 댓글에서 **인신공격**이 발견되어 삭제되었음 HN에서는 의견이 달라도 개인 공격은 절대 금지임. 사이트의 목적을 해치기 때문임 최근에 [가이드라인](https://news.ycombinator.com/newsguidelines.html)을 읽지 않았다면 꼭 다시 확인해볼 것을 권장함 - 인신공격은 없었고, 단지 같은 기능을 계속 **리브랜딩**하는 것에 대한 불만이었음. 진짜 혁신이 없으니 사람들이 화가 나는 것임. REST API 초창기에 이런 일이 있었다면 그때도 마찬가지로 분노했을 것임 - 보안 측면에서 보면 Claw를 두는 건 인간 비서나 컨설턴트를 두는 것과 비슷함 개인 이메일이나 은행 계좌 접근권을 주지 않듯, 별도의 이메일과 제한된 **법인카드**를 주는 식으로 설정해야 함 - 하지만 정치인이나 임원들은 비서가 이메일이나 SNS를 관리하는 경우가 흔함 은행 계좌는 안 주더라도 **회계사나 재무 상담가**에게는 접근권을 주는 경우도 있음 - 내가 CLI 기반 **에이전트 툴**을 만들 때 넣은 안전장치가 있음 위험한 행동(예: 대량 이메일 발송)을 하려면 **일회용 비밀번호(OTP)** 를 요구하도록 함 툴이 에이전트에게 사용자에게 OTP를 요청하라고 지시하고, 입력 없이는 진행 불가함 아직 Claw를 써보진 않았지만, 이런 식의 인간 개입 구조가 필수라고 생각함 그래서 나는 모든 에이전트용 CLI를 직접 만들어서 통제력을 높이고 있음 - 요즘 컴퓨팅은 마치 **Sim City**처럼 흐릿한 계획만 세우고, 시스템이 알아서 잘 돌아가길 바라는 식으로 변했음. 예측 가능한 규칙의 아름다움이 사라진 것 같음 - 또 다른 접근은 기업식 승인 절차를 흉내 내는 것임. 중요한 작업은 **승인자(approver)** 가 따로 있고, 에이전트가 그에게 메시지를 보내 승인을 받는 구조임. OTP 대신 승인 채널을 신뢰하는 방식임 - 그런데 “너무 많은 사람에게 이메일을 보내면 안 된다”는 기준을 어떻게 **강제**하느냐는 의문이 있음 - 나는 fly.io에서 내 Claw를 직접 돌리고 있음. 이메일, Slack 메시지 등 인간 개입이 필요한 작업은 **‘activity’** 로 분리해서 링크를 생성하고 내가 승인해야만 실행됨 - 나는 내부 LLM과 외부 **권한 오케스트레이션 레이어**를 둔 버전을 만들었음. OTP는 필요 없다고 봄. 외부 레이어가 Signal로 나에게 알림을 보내고, 그때마다 승인 여부를 정함 - Claw가 예전부터 존재했다면 인터넷은 달라졌을 것 같음 단순한 **Gopher 프로토콜** 기반의 메뉴형 구조가 LLM에게 더 적합했을 수도 있음 앞으로 사용자 측 에이전트 중심의 상호작용이 늘면 이런 방향으로 진화할지도 모르겠음 - 이런 미래를 직접 만들어야 함. 모든 서비스가 **API 형태**로만 존재하고, 내 에이전트가 그걸 조합해주는 세상 유튜브, Gmail, HN, 은행, 전력회사까지 전부 API라면 사용자가 원하는 방식으로 인터페이스를 구성할 수 있음 기업들은 독점이 깨지니 반대하겠지만, 기술은 덜 수익적이면서도 더 가치 있게 될 것임 - 1992년쯤 IMG 태그 이전 시절, 나는 `foo-www`, `foo-http` 같은 DNS 쌍을 만들어 실험했음 CGI 제안이 나왔을 때 “이건 아무도 안 쓸 거야”라고 생각했는데, 결국 모두 그 스펙을 구현했음. 그때의 **초기 유연성**을 놓친 게 아쉬움 - MCP는 이미 그 방향으로 가고 있음. LLM이 텍스트 기반으로 서비스에 접근하는 구조임 나는 **Telegram**으로 내 Mac의 OpenClaw 인스턴스와 대화함. 이미 앱 UI 대신 새로운 인터페이스를 쓰는 셈임 인간이 보는 창 대신 **에이전트 중심 인터페이스**를 만들고, 검증용 인터페이스만 남기는 게 더 합리적임 - 기술적으로는 모든 웹사이트가 API를 제공할 수 있지만, **인센티브 문제** 때문에 대부분 원하지 않음. Google Search API 사례처럼 말임 - Claw가 예전부터 존재할 수는 없었을 것 같음. LLM 학습 데이터는 WWW 확산 덕분에 생긴 것이고, 그 인프라가 없었다면 대규모 학습 자체가 불가능했을 것임 - Claw의 진짜 핵심은 **사용자 중심 에이전트**라는 점임 사람들이 싫어하는 AI는 기업이 통제하는 AI임. Claw는 사용자가 소유하고 이름까지 붙이는 존재임 R2D2 같은 동료와, 나에게 물건을 팔려는 로봇 복제인간의 차이와 같음 - 동의함. OS 벤더 같은 기존 강자들은 이런 **사용자 중심 모델**이 어느 정도 혼란을 겪은 뒤에야 자사 제품에 통합하려 할 것임 - 하지만 “사용자”가 누구냐에 따라 다름. 에이전트를 시작한 사람인가, 아니면 그와 상호작용하는 사람인가? 후자는 피해자가 될 수도 있음 - “Claw”가 정확히 뭔지 궁금했음. 이메일 등 개인 데이터에 접근하는 AI인가? 컨테이너 안에서 로컬 LLM으로 돌리면 안전한가? - 내가 보기엔 **개인용 디지털 비서**의 새로운 형태임. - 개인이 직접 사용 - 코드 실행 가능한 터미널 접근 - 채팅앱 통합 - 일정 실행 기능 - 이메일·캘린더·파일 등 **민감 데이터 접근** 소비자 하드웨어나 VPS 어디서든 돌릴 수 있음. 새로운 시장이 열리고 있음 - 나에겐 일정 주기로 동작하며, 받은 편지함을 확인하고 자동으로 일을 처리하는 **cron-for-agents** 같은 개념임 비동기적으로 내 자격증명을 써서 일을 처리함. 단순하지만 흥미로움 - 하지만 컨테이너로 돌린다고 해서 **근본적인 위험**이 사라지는 건 아님 - 어떤 사람은 Claw를 단순히 “AI 유행에 뒤처지기 싫어 **무모하게 자신을 노출**하는 심리 상태”라고 풍자함 - 기술적으로 보면 Claw는 “**큐 안의 에이전트**”임. 즉 LLM과 툴이 루프를 이루되, 그 루프들이 큐로 연결된 구조임 - 내 요약: OpenClaw는 **보안 위험도 5/5** 수준임 완벽히 감사된 NanoClaw라도 4/5 정도임 인간 개입이 있으면 낫지만 효용은 급격히 줄어듦 LLM은 언어 명세나 테스트 기반 **가드레일 생성**에는 좋지만, 안정성이 더 중요하다고 생각함 - “Claw”라는 명칭은 OpenClaw류의 개인용 AI 에이전트를 지칭하는 단어로 **굳어질 것** 같음 - 용어의 **바이럴 확산**을 보는 게 흥미로움. 나중에 상표권 문제로 변호사들이 골치 아플지도 모름. WordPress 생태계의 “press”처럼 말임 - 요즘 에이전트 워크플로우의 유행은 **보안 경계 부재**라는 근본적 문제를 무시함 LLM이 무제한 쉘 접근을 가진 상태에서 신뢰할 수 없는 데이터를 불러오면, **간접 프롬프트 인젝션**은 피할 수 없음 또한 거대한 시스템 프롬프트와 툴 스키마를 문맥에 쑤셔 넣으면 모델의 기본 추론 능력이 떨어지고, 취약성이 커짐 - 사실 이런 위험은 다들 알지만, **편의성**이 너무 커서 감수하고 쓰는 것임 - **Information Flow Control**은 이상적이지만, 통합 채널 전반의 프로토콜이 바뀌지 않으면 실현 불가능함 - 관련 연구를 공유해줄 수 있는지 궁금함 - GTA VI보다 먼저 **스토어 브랜드 Claw**가 나왔음 직접 만들어보니 50줄 코드면 충분했음 Telegram 라이브러리 몇 줄과 `claude -p prooompt`만 있으면 됨 [ULTRON 예시 코드](https://github.com/a-n-d-a-i/ULTRON/blob/main/src/index.ts)를 참고할 수 있음 물론 에이전트는 외부에 위임하지만, Bash 50줄로도 거의 완벽한 결과를 낼 수 있음 - 하지만 진짜 Claw로 쓰려면 **cron 추가**가 필요함