OpenClaw과 NemoClaw 기술 분석 보고서

1OpenClaw 프로젝트 상세 소개

1.1 발전 과정

1.2 기술 아키텍처

OpenClaw은 pnpm으로 관리되는 TypeScript 모노레포로, core, gateway, agent, cli, sdk, ui 등 핵심 패키지와 21개 채널 확장^[5](WhatsApp, Telegram, Slack, Discord, Google Chat, Signal, iMessage 등 25+ 플랫폼)을 포함한다. 전체 런타임은 단일 프로세스 Node.js Gateway이다 — 모든 채널 어댑터, 세션 관리, 도구 실행, 메모리 시스템이 동일한 프로세스 내에서 공유 메모리로 실행되며, OS 수준의 격리가 없다.

1.3 언어 구성

OpenClaw은 100% TypeScript 프로젝트이다. Gateway 프로세스는 tsx를 통해 TypeScript 소스를 직접 실행하며, 빌드 후 dist/ 디렉토리를 Node.js가 실행한다. Rust, Go, C 컴포넌트는 핵심 런타임에 일절 참여하지 않는다. 모든 보안 경계(예: Skill 실행 샌드박스)는 Docker 컨테이너에 의존하지만, 이 기능은 기본 비활성화 상태이다.

1.4 알려진 보안 문제

OpenClaw의 보안 이력은 NemoClaw 탄생의 직접적 원인이다. 주요 보안 사건은 다음과 같다:

• CVE-2026-25253 (CVSS 8.8)^[2]: 원클릭 원격 코드 실행 취약점으로, localhost 바인딩 인스턴스에서도 악용 가능. v2026.1.29에서 수정되었으나, 발견 시 17,500개 노출 인스턴스가 해당 취약점을 보유.
• ClawHavoc 공급망 공격^[3]: ClawHub Skill 레지스트리에서 800+ 악성 Skill 발견(전체 레지스트리의 약 20%), 그 중 335개는 “ClawHavoc”이라는 협조적 공격 캠페인에서 유래, 주로 Atomic macOS Stealer(AMOS) 배포.
• 135,000+ 공개 노출 인스턴스^[4]: SecurityScorecard STRIKE 팀이 82개국에 걸쳐 노출 인스턴스를 발견, 93.4%에서 인증 우회 조건 존재. 기본 구성에서 인증 비활성화, WebSocket은 출처 검증 없이 연결 수락.
• 6개 추가 CVE^[6]: 명령 주입, SSRF, 인증 우회, 경로 탐색 등, 각각 다른 공격 진입점을 제공.

Cisco^[7], Microsoft^[8], CrowdStrike^[9], Kaspersky^[10], Bitsight^[4] 등 보안 대기업 모두 전문 분석 보고서를 발표하여, OpenClaw을 “AI Agent 보안 악몽”의 대표적 사례로 지목했다.

2NemoClaw 프로젝트 상세 소개

2.1 발전 과정 및 포지셔닝

NemoClaw은 NVIDIA가 GTC 2026 대회(2026년 3월 16일)에서 발표한 오픈소스 프로젝트^[11]로, OpenClaw의 “엔터프라이즈급 보안 배포판”으로 포지셔닝된다. 독립 분석가의 정확한 비유^[12]: “OpenClaw이 Linux 커널이라면, NemoClaw은 Red Hat Enterprise Linux이다 — 커널은 그대로이지만, 엔터프라이즈급 보안, 감사, 거버넌스 기능으로 감싸져 있다.”

NemoClaw의 핵심 가치 제안: NVIDIA OpenShell 보안 런타임^[13]을 통해 OpenClaw Agent를 커널 수준 샌드박스(Landlock + seccomp + 네트워크 네임스페이스)에서 격리 실행하여, 프로세스 외부 정책 집행을 구현한다 — Agent가 탈취되더라도 보안 정책을 우회할 수 없다.

2.2 7층 기술 아키텍처

2.3 언어 구성

2.4 핵심 지표

3Issue 샘플링 및 분류 분석

3.1 NemoClaw Issue 샘플링 (첫 페이지 12건 · 2026.05.05 스냅샷)

3.2 OpenClaw Issue 샘플링 (첫 페이지 12건 · 2026.04.30 스냅샷)

3.3 Issue 삼론 분류 비교 통계

3.4 NemoClaw Issue 분류 통계 (243개 Open Issues 전량 추정)

4언어 선택 분석: 구조적 결함의 유전 코드

4.1 동종 도구 언어 비교

모든 동종 보안/컨테이너/샌드박스 인프라 도구 중에서, OpenClaw과 NemoClaw만이 스크립트 언어를 주 언어로 사용하는 유일한 프로젝트이다.

4.2 NemoClaw의 제어력 절벽

NemoClaw CLI와 OpenShell 바이너리 사이에는 프로세스 경계, 권한 경계, 언어 경계로 구성된 심연이 존재한다. OpenShell에 대한 모든 “제어”는 본질적으로 문자열 연결 커맨드라인이다:

5정보이론 차원 분석 (Shannon)

5.1 NemoClaw: 채널 용량 vs 소스 엔트로피율

Shannon의 채널 코딩 정리(Channel Coding Theorem)는 다음을 명시한다: 채널 용량 C가 소스 엔트로피율 H보다 낮을 때, 신뢰할 수 있는 통신은 불가능하다. NemoClaw의 exec() 호출 채널 용량은 약 1 bit(성공/실패)이며, sandbox 수명 주기의 상태 엔트로피율은 5 bits를 초과한다. C < H → 오류 진단이 필연적으로 부정확하다.

5.2 NemoClaw: 7층 신호 감쇠

NemoClaw에서 사용자 의도는 7개 층을 통과하여 최종 실행 계층에 도달하며, 각 층에서 직렬화/역직렬화 노이즈가 추가된다. “sandbox not found”라는 하나의 오류 문자열이 최소 5가지 완전히 다른 하위 고장에 대응할 수 있다: gRPC 메타데이터 미전파, k3s Pod 미준비, containerd 이미지 풀 실패, Docker 네트워크 도달 불가, 또는 OpenShell 레지스트리 불일치. 정보가 진단 불가능한 수준까지 압축된다.

5.3 NemoClaw: 네임스페이스 엔트로피 붕괴

NemoClaw CLI의 파라미터 공간과 sandbox 이름 공간이 동일한 심볼 도메인(커맨드라인 첫 번째 인수)을 공유한다. 사용자가 sandbox를 “status”로 명명하면, nemoclaw status connect가 sandbox 작업이 아닌 글로벌 명령으로 파싱된다. 컴파일러 이론을 배운 사람이라면 누구나 알 듯이, 어휘 분석의 첫 단계는 서로 다른 의미 범주가 겹치지 않는 토큰 공간을 점유하게 하는 것이다. NemoClaw은 이 첫 단계조차 수행하지 않았다.

5.4 NemoClaw: 환경 변수 인코딩 충돌

커뮤니티 사용자들이 발견한 바에 따르면, NemoClaw에서 동일 의미체(sandbox 이름)가 다른 컴포넌트에서 세 가지 다른 환경 변수명과 기본값을 사용한다^[21]: Telegram bridge는 SANDBOX_NAME(기본값 “default”)을 읽고, start 스크립트는 NEMOCLAW_SANDBOX(기본값 “nemoclaw”)를 읽으며, OpenShell은 내부 레지스트리를 읽는다. 동일 소스의 세 가지 인코딩이 전송 중 조화 불가능한 충돌을 야기한다.

5.5 OpenClaw: 정보이론 결함 분석

OpenClaw의 정보이론 문제는 NemoClaw과 다르다 — 교차 계층 신호 감쇠가 아니라 단일 프로세스 내부의 정보 혼돈이다. 구체적으로 세 가지 유형으로 나타난다:

• 분산 추적 식별자 유실 (#75174): OpenTelemetry 진단 span이 traceId를 공유하지 않아 Cloud Logging에 고아 루트 트레이스 발생. traceId는 Shannon 의미의 채널 식별자이다 — 그 유실은 동일 사용자 요청의 모듈 간 인과관계가 완전히 단절됨을 의미하며, 운영 담당자가 요청의 전체 수명 주기를 연관시킬 수 없다.
• 모델 식별자 인코딩 불일치 (#75163): TUI에서 세션 중간 모델 전환 시 원시 별명(“claude”)을 전달하고, 해석된 완전 한정 ID(“anthropic/claude-opus-4-6”)를 전달하지 않는다. 동일 엔티티가 시스템 다른 계층에서 다른 인코딩을 사용하며, 통일된 소스 인코딩 표준이 없다 — NemoClaw의 환경 변수 명명 충돌과 동형 문제이다.
• 세션 상태 매핑 오류 (#75151): 컨텍스트 오버플로 리셋 후, sessionFile이 존재하지 않는 transcript 파일에 매핑되어, 실제 대화 기록이 고립된다. 이것은 정보이론에서 “댕글링 포인터”의 애플리케이션 계층 표현이다 — 상태 참조와 상태 실체 간의 매핑 관계가 예외 경로에서 단절된다.

6제어이론 차원 분석 (Wiener)

6.1 NemoClaw: 제어이론 지표 평가

6.2 NemoClaw: 개루프 제어의 필연적 결과

NemoClaw의 온보드 흐름은 7단계 직렬 파이프라인으로, 각 단계 실행 완료 시 피제어 시스템의 확인을 기다리지 않고 성공으로 간주한다. Step 3/7이 “Sandbox created”를 보고한 후 밀리초 간격으로 Step 7/7이 정책 적용을 시작하지만, gRPC 메타데이터 전파는 100~500ms가 필요할 수 있다. 이것은 온도 센서 없는 항온기, 또는 발사 후 추적을 중단하는 미사일 유도 시스템과 동등하다.

6.3 NemoClaw: Ashby 필요다양성 법칙 위반

Ashby의 필요다양성 법칙(Law of Requisite Variety)은 요구한다: 제어기의 상태 공간은 피제어 시스템의 상태 공간 이상이어야 한다. NemoClaw의 TypeScript CLI는 Node.js 유저스페이스에서 실행되며, GC 정지가 예측 불가능하고, 이벤트 루프가 단일 스레드이며, 커널 네임스페이스를 직접 조작할 수 없다. 그 “제어 다양성”은 Landlock + seccomp + netns 대상의 상태 공간보다 훨씬 낮다. NemoClaw은 “제어기(controller)”가 아니라 “리모컨(remote control)”이다.

6.4 NemoClaw: 관측면 파편화

NemoClaw의 시스템 상태를 관측하려면 네 개의 다른 추상화 계층에서 네 개의 다른 명령을 실행해야 한다: nemoclaw status(CLI 계층), openshell sandbox list(샌드박스 계층), kubectl get pods -A(k3s 계층), docker logs(컨테이너 계층). 통합 관측 대시보드가 없으며, TypeScript 계층은 k3s 내부 상태를 직접 조회할 수조차 없다.

6.5 NemoClaw: 업그레이드의 비가역성

NemoClaw의 업그레이드 스크립트는 무조건적으로 openshell gateway destroy를 호출한 후 재구축한다. WSL2 환경에서 수 시간을 들여 수동으로 수정한 것(수동 이미지 가져오기, TLS 인증서 생성)이 업그레이드 작업에 의해 전부 파괴된다. 제어이론은 상태 변경 작업에 역연산 또는 전제 조건 검사가 있어야 함을 요구한다 — NemoClaw은 둘 다 없다.

6.6 OpenClaw: 제어이론 결함 분석

OpenClaw의 제어이론 문제는 “하위 시스템을 제어할 수 없음”이 아니라(제어할 하위 시스템이 없다), 자체 실행 상태에 대한 폐루프 관리의 부재이다. 구체적 표현은 다음과 같다:

• 업그레이드에 인터페이스 계약 보호 부재 (#75171): 업그레이드 후 createReplyPrefixContext 함수가 소멸하여 TypeError 크래시 발생. TypeScript의 동적 임포트는 컴파일 시 서드파티 패키지의 함수 시그니처 변경을 검증하지 않는다 — 개루프 업그레이드의 필연적 결과. Go/Rust의 컴파일 시 인터페이스 검사는 빌드 단계에서 이 유형의 오류를 차단할 수 있다.
• 채널에 제어 인터페이스 부재 (#75153): 커뮤니티가 channels.start/stop/restart CLI 명령 노출을 요청하는 이유는, 현재 멈춘 채널(wedged channel)을 복구하려면 전체 컨테이너를 재시작하거나 재페어링하는 수밖에 없기 때문이다 — 세밀한 제어 수단이 없다.
• 대화 기록 무한 스태킹: OpenClaw은 모든 대화 기록을 컨텍스트 윈도우에 지속적으로 누적하며, 적응적 압축이나 절삭 피드백 메커니즘이 없다. 이로 인해 고빈도 사용자는 필연적으로 API의 TPM(Tokens Per Minute) 속도 제한을 트리거하거나 과도한 비용을 발생시킨다 — 시스템이 토큰 소비율에 따라 자기 조절하지 않으며, 전형적인 음의 피드백 없는 발산 시스템이다.

7시스템이론 차원 분석 (Bertalanffy)

7.1 NemoClaw: 창발성 실패

NemoClaw이 WSL2 환경에서 보이는 4층 가상화 중첩^[14](Windows → WSL2 VM → Docker → k3s → containerd)은 전형적인 창발성 고장을 야기한다: 최외곽 Docker는 이미지를 풀 수 있지만, 최내곽 containerd는 풀 수 없다 — DNS 해석과 라우팅이 4번째 가상화 계층에서 단절된다. 각 컴포넌트의 설계자는 이 중첩 깊이를 테스트한 적이 없으며, 고장 행동은 단일 컴포넌트의 문서에서 예측할 수 없다.

7.2 NemoClaw: k3s 계층의 불필요성

시스템이론의 계층 필요성 원칙은 요구한다: 각 계층의 존재는 상위 계층이 해결할 수 없는 문제를 해결해야 한다. NemoClaw은 Docker 컨테이너 내에서 완전한 k3s 클러스터(etcd, kube-scheduler, kube-proxy, coredns, metrics-server 포함)를 실행하지만, 단 하나의 sandbox Pod만을 오케스트레이션한다. Kubernetes의 설계 목적은 수백 개의 Pod를 오케스트레이션하는 것이다 — 단일 Pod를 오케스트레이션하는 데 사용하는 것은 항공모함으로 물고기 한 마리를 운반하는 것과 같다. docker run --security-opt seccomp --cap-drop ALL 한 줄로 달성 가능한 격리가 7층 탑으로 쌓여 있다.

7.3 NemoClaw: 자가 치유 능력 제로 (항상성 부재)

건강한 시스템은 항상성(Homeostasis)을 보유해야 한다 — 교란 후 자동으로 정상으로 복귀. NemoClaw은 이 능력이 전무하다: sandbox 생성 실패 시 자동 재시도 없음; 업그레이드가 설정을 파괴해도 자동 롤백 없음; gateway 사망 후 잔류 Docker volume이 다음 생성을 차단하나 정리 메커니즘 없음. 매번 고장 시 4개 계층의 상태를 수동으로 관통하여 정리해야 한다. TypeScript/Shell에는 자가 치유 루프를 구축하는 원시 기능이 없다 — Erlang식 supervisor tree 없음, Kubernetes식 readiness probe 없음(아이러니하게도 NemoClaw 자체가 k3s를 사용함), circuit breaker 없음.

7.4 NemoClaw: 보안 하위시스템과 기능 하위시스템의 경계 모순

NemoClaw의 Sandbox 네트워크 네임스페이스는 “모든 아웃바운드 트래픽이 프록시를 거쳐야 한다”고 요구하지만, Node.js의 ws 라이브러리(Slack/Discord WebSocket SDK의 의존성)는 HTTPS_PROXY 환경 변수를 읽지 않는다. REST 호출은 프록시 경유 성공, WebSocket 직접 연결은 차단. NemoClaw의 보안 설계와 기능 요구사항의 경계 전제가 상호 배타적이다 — 시스템이론의 “경계 투과성 모순”의 교과서적 사례.

7.5 OpenClaw: 시스템이론 결함 분석

OpenClaw의 시스템이론 문제는 NemoClaw과 정반대이다 — “계층 과다로 인한 창발성 실패”가 아니라, “계층 제로로 인한 격리 부재”이다. 전체 런타임이 단일 프로세스 Node.js Gateway이며, 모든 컴포넌트가 공유 메모리에서 실행되어, 시스템이론의 경계 개념이 완전히 부재한다. 구체적 표현:

• 오류 처리기 자체 크래시로 계단식 고장 (#75168): Gateway가 채널 오류를 처리하는 중 크래시 — 오류 처리 경로에서 log 변수가 미초기화. 보호 메커니즘 자체에 미초기화 의존성 존재 — 시스템이론의 “안전 밸브 실패로 전체 시스템 정지”의 전형적 사례. 단일 프로세스 아키텍처에서 하나의 채널 오류 처리기 크래시가 25+ 채널 전체의 서비스를 동시에 중단시킨다.
• TUI 비지 루프 CPU 99% 소비 (#75137): Node.js 단일 스레드 이벤트 루프 모델에서, TUI 프로세스는 유휴 시 중지 대기가 아닌 지속적 폴링을 수행 — 스크립트 언어로 장기 상주 시스템 프로세스를 구현하는 고유 안티패턴. Go/Rust의 비동기 런타임은 이벤트 도착 전까지 진정으로 슬립하여, CPU 오버헤드가 거의 제로에 근접한다.
• 미디어 Provider 교차 채널 누수 (#75166): 이미지/비디오 Provider의 도구 출력이 Discord 그룹 채널에 누수되어, 사용자에게 보이지 말아야 할 내부 데이터가 노출된다. 시스템이론의 “경계 누수” 문제 — 단일 프로세스 공유 메모리 아키텍처에서 한 하위시스템의 출력이 의도치 않게 다른 하위시스템의 데이터 경로를 오염시킬 수 있다. 프로세스 수준 격리 장벽이 없기 때문이다.
• 430,000행 단일 프로세스의 감사 불가능성: 전체 코드베이스가 하나의 Node.js 프로세스에서 실행된다. FrankClaw 작성자의 보안 감사에서 7개의 심각한 취약점이 발견되었지만^[17], 동시에 “100만 행 이상의 TypeScript가 29개 패키지에 분산”되어 있어 완전한 감사는 인력적으로 불가능하다고 지적했다. 시스템이론은 대규모 시스템의 분해 가능성(decomposability)을 요구한다; OpenClaw의 단일 프로세스 단일 메모리 아키텍처는 이 원칙을 위반한다.

8삼론 융합 진단 및 승법적 재앙 정리

8.1 Issue 귀인 통계

8.2 인과 정합 검증

8.3 승법적 재앙 정리

9에픽급 Bug 속도 횡단 비교

OpenClaw은 5개월 만에 Kubernetes 11년 누적 Issue 총량의 1.5배를 달성했다(78,205 vs ~53,000). OpenClaw의 Issue 생성 속도는 Kubernetes의 43배, React의 104배이다. NemoClaw의 정규화된 Bug 밀도(만 Star당 Open Issue 수)는 120.9로 — Kubernetes(14.7)의 8.2배, React(4.7)의 25.7배이다.

10커뮤니티 반응 및 전 세계 인지 격차

10.1 6개 독립 재작성 프로젝트

OpenClaw 발표 후 8주 내에 최소 6개의 독립 재작성 프로젝트가 출현하여^[15], 총 약 11.6만 Stars를 흡인했다:

10.2 전 세계 인지 깊이 그래디언트

11결론 및 패러다임 시사점

11.1 진단 결론

OpenClaw과 NemoClaw의 낮은 성숙도는 언어 선택 × 아키텍처 설계 × 시간 압박의 3중 중첩이 초래한 구조적 필연이다. TypeScript + Shell을 주 언어로 삼은 것은 위 세 가지 근인의 승수 인자이다. 핵심 오케스트레이션 계층을 Go/Rust로 재작성한다면: 정보이론적으로 gRPC 양방향 스트림이 exec() 호출을 대체할 수 있고(채널 용량 ×10); 제어이론적으로 readiness probe와 health check를 내장할 수 있으며(폐루프 제어); 시스템이론적으로 supervisor tree를 구축하여 자가 치유를 구현할 수 있다(항상성 복원).

11.2 비가역성 판단

수리에 필요한 변경 범위(언어 재작성 + 아키텍처 재구축)가 시스템 자체의 규모와 같거나 이를 초과할 때, “수리”는 의미를 상실한다. NemoClaw은 코드베이스로서 구조적으로 사망했다. OpenClaw의 TypeScript 커널도 같은 종착점을 향하고 있다 — 만성적 부패로 표현된다. 두 프로젝트의 Bug 증가 속도는 이미 인간 수정 속도의 상한을 초과했으며^[20], 열역학적 의미의 비가역적 과정을 구성한다.

11.3 패러다임 시사: “오픈소스 코드”에서 “오픈소스 아키텍처”로

위 두 프로젝트와 대비되는 것이 LiteClaw 프로젝트^[19]가 제시한 “Open Architecture” 패러다임이다 — Markdown 형식의 아키텍처 블루프린트와 SOP 플로우차트를 오픈소스하여, AI가 사용자 로컬에서 코드를 제로부터 생성하도록 한다. L0-L8 8층 엄격 단방향 의존성 및 순환 의존성 제로의 아키텍처는, 제어이론적으로 순수 전방향(feedforward) 시스템이며, 시스템이론적으로 최소 결합도를 달성한다. 5,000행 / 42파일의 규모는 완전히 감사 가능하다. 제로 Issue 기록은 증명한다: 아키텍처 설계가 코드 구현에 선행할 때, 버그는 설계 단계에서 제거되지, 런타임에 산더미처럼 쌓이지 않는다.