Moltbot(구 Clawdbot) AI 에이전트 완벽 가이드: 리브랜딩 배경부터 보안 취약점까지 총정리 (2026년 1월)

Moltbot(구 Clawdbot) AI 에이전트란 무엇인가

Moltbot은 2026년 1월 현재 GitHub에서 68,000개 이상의 스타를 기록하며 폭발적인 성장세를 보이고 있는 오픈소스 AI 에이전트입니다. 오스트리아 출신 개발자이자 PSPDFKit 창업자인 Peter Steinberger가 개발한 이 프로젝트는 2025년 말 출시 이후 단 24시간 만에 9,000개의 스타를 달성했으며, 이후 GitHub 역사상 가장 빠르게 성장하는 오픈소스 프로젝트 중 하나로 자리매김했습니다.

Moltbot의 핵심 특징은 기존의 단순한 챗봇과 달리 사용자의 하드웨어에서 직접 실행되는 자가 호스팅(Self-Hosted) 방식을 채택했다는 점입니다. 이 AI 에이전트는 셸 명령어 실행, 파일 시스템 관리, 브라우저 자동화 등 로컬 컴퓨팅 작업을 수행할 수 있는 자율 에이전트로 작동합니다. Tesla AI 총괄 출신의 Andrej Karpathy가 칭찬하고, David Sacks가 트윗으로 언급하는 등 AI 업계 주요 인사들의 주목을 받았습니다.

Anthropic 상표권 이슈와 Clawdbot에서 Moltbot으로의 리브랜딩 배경

2026년 1월 27일, Steinberger는 프로젝트 이름을 Clawdbot에서 Moltbot으로 변경한다고 공식 발표했습니다. 이 리브랜딩의 배경에는 Anthropic의 상표권 요청이 있었습니다. 기존 이름인 'Clawdbot'은 Anthropic의 AI 모델 'Claude'에서 영감을 받은 'Clawd'라는 바닷가재 마스코트에서 유래했는데, 이 이름이 Claude와 너무 유사하다는 것이 문제였습니다.

Anthropic은 정중한 요청(Polite Request) 형태로 이름 변경을 권고했으며, Steinberger는 이를 수용하여 새로운 이름을 선택했습니다. 새 이름 'Moltbot'은 바닷가재가 성장하기 위해 껍질을 벗는 '탈피(Molt)' 과정에서 착안한 것으로, 프로젝트 팀은 이를 자연스러운 진화로 설명했습니다. Steinberger는 "새로운 껍질, 같은 바닷가재 영혼(New shell, same lobster soul)"이라는 메시지와 함께 마스코트 이름도 Clawd에서 Molty로 변경했습니다.

리브랜딩 과정에서 예상치 못한 문제가 발생하기도 했습니다. GitHub 조직명과 X(구 Twitter) 핸들을 동시에 변경하는 과정에서 약 10초간의 틈이 생겼고, 이 짧은 시간 동안 암호화폐 사기꾼들이 기존 @clawdbot X 계정과 GitHub 조직을 탈취하는 사건이 발생했습니다. 이들은 피싱 스킴을 홍보하려 했으나, Steinberger 팀은 X와 GitHub 측 담당자들과 협력하여 피해를 복구할 수 있었습니다.

이러한 AI 프로젝트의 리브랜딩 사례는 이번이 처음이 아닙니다. OpenAI의 DALL·E Mini는 Craiyon으로 이름을 변경했고, Google은 Bard를 Gemini로 리브랜딩하여 모델 패밀리와 브랜딩을 일치시킨 바 있습니다.

자가 호스팅 방식과 Mac Mini 기반 하드웨어 운영

Moltbot의 가장 큰 차별점은 클라우드 기반 AI 서비스와 달리 사용자가 직접 자신의 하드웨어에서 호스팅한다는 점입니다. 이 '로컬 퍼스트(Local-First)' 설계는 클라우드 기반 AI 어시스턴트 대비 상당한 프라이버시 이점을 제공합니다. 메시지나 파일이 사용자가 특별히 설정하지 않는 한 로컬 머신을 떠나지 않기 때문입니다.

시스템 요구사항은 상당히 낮은 편입니다. Node.js 22 이상이 필요하며, macOS와 Linux에서 네이티브로 실행됩니다. Windows 사용자는 WSL2(Windows Subsystem for Linux)를 통해 사용할 수 있습니다. 하드웨어 요구사항도 최소한으로, 게이트웨이는 낮은 CPU와 메모리 사용량으로 유휴 상태를 유지하며, 현대적인 브라우저를 실행할 수 있는 어떤 머신에서도 Moltbot을 실행할 수 있습니다.

많은 사용자들이 집에 있는 여분의 컴퓨터나 이 목적을 위해 구입한 Mac Mini에서 Moltbot을 로컬로 실행하고 있습니다. Mac Mini 설정의 경우, Homebrew를 통해 Node.js를 설치하고(brew install node), npm을 통해 Clawdbot을 설치한 후(npm install -g clawdbot), 온보딩을 실행하면(clawdbot onboard --install-daemon) launchd를 통한 백그라운드 실행이 설정됩니다.

보다 격리된 환경을 원하는 사용자를 위해 Docker 기반 배포도 지원됩니다. Docker Desktop 또는 Docker Engine과 Docker Compose v2가 필요하며, docker build -t moltbot:local -f Dockerfile .로 빌드한 후 docker compose up -d moltbot-gateway로 실행할 수 있습니다. Docker 배포는 에이전트가 접근할 수 있는 범위를 제한하는 샌드박싱 기능을 제공하여 보안성을 높여줍니다.

Moltbot 자체는 무료 오픈소스(MIT 라이선스)이지만, API 토큰 비용이 발생합니다. Anthropic의 경우 백만 토큰당 약 $3(입력)과 $15(출력)가 Claude Sonnet 기준으로 청구되며, Opus 모델의 경우 더 높은 비용이 발생합니다.

WhatsApp, Telegram, iMessage 등 메시징 앱 연동 기능

Moltbot의 핵심 강점 중 하나는 다양한 메시징 플랫폼과의 광범위한 연동입니다. 사용자가 이미 사용하고 있는 채널을 통해 AI 에이전트와 소통할 수 있도록 설계되었습니다. 지원되는 플랫폼은 다음과 같습니다:

카테고리	지원 플랫폼
메인 메시징	WhatsApp, Telegram, iMessage, Signal
업무용 플랫폼	Slack, Discord, Microsoft Teams, Google Chat
확장 채널	BlueBubbles, Matrix, Zalo, WebChat

이러한 멀티채널 지원 덕분에 사용자는 10개 이상의 메시징 플랫폼에 동시에 연결할 수 있습니다. 웹 기반 챗봇과 달리 Moltbot은 대화 간 영구적인 메모리를 유지하고, 트리거나 일정에 따라 능동적으로 메시지를 시작할 수 있습니다. 사용자는 서버를 직접 제어하고 원하는 AI 모델을 연결하여 사용합니다.

프로액티브 커뮤니케이션 기능의 혁신성

Moltbot과 기존 AI 어시스턴트의 가장 큰 차이점은 '프로액티브 커뮤니케이션(Proactive Communication)' 기능입니다. 전통적인 CLI 및 비주얼 에이전트가 사용자의 프롬프트를 기다리는 반응형(Reactive) 방식인 반면, Moltbot은 하트비트 엔진(Heartbeat Engine)과 크론잡 통합을 통해 능동적으로 작동합니다.

예를 들어, 사용자가 "서버가 다운됐나요?" 또는 "주가가 떨어졌나요?"라고 물을 필요가 없습니다. Moltbot이 스스로 깨어나 데이터를 확인하고, 설정한 임계값에 도달하면 사용자에게 먼저 메시지를 보냅니다. 이 기능을 통해 AI 어시스턴트는 단순한 챗봇이 아닌 '디지털 직원'처럼 작동합니다.

Moltbot은 프롬프트를 기다리지 않고 리마인더, 요약, 알림, 브리핑을 스스로 전송할 수 있습니다. 적절한 권한이 부여되면 터미널 명령어 실행, 스크립트 작성 및 실행, 웹 브라우저 제어, 이메일 관리, 캘린더 업데이트, 웹 리서치 수행, GitHub에 코드 커밋, 심지어 자체적으로 새로운 기능을 프로그래밍하는 것까지 가능합니다.

멀티 에이전트 라우팅과 커스텀 스킬 시스템

Moltbot의 고급 기능 중 하나는 멀티 에이전트 라우팅 시스템입니다. 하나의 게이트웨이에서 여러 개의 격리된 에이전트(별도의 워크스페이스 + agentDir + 세션)와 여러 채널 계정(예: 두 개의 WhatsApp)을 실행할 수 있습니다. 인바운드 트래픽은 바인딩을 통해 적절한 에이전트로 라우팅됩니다.

에이전트 간 통신(Agent-to-Agent Communication)도 지원됩니다. 세션 도구를 사용한 에이전트 간 조정, 여러 에이전트가 동시에 작업하는 병렬 태스크 실행, 수퍼바이저 에이전트가 전문 에이전트에게 위임하는 계층적 에이전트 구조, Codex, Cursor, Manus 등 다른 도구들과 조정하는 크로스 플랫폼 오케스트레이션이 가능합니다.

커스텀 스킬 시스템을 통해 100개 이상의 사전 구성된 AgentSkills를 사용하여 AI가 셸 명령어 실행, 파일 시스템 관리, 웹 자동화를 수행하도록 도구의 기능을 확장할 수 있습니다. 스킬은 각 워크스페이스의 skills/ 폴더에 에이전트별로 저장되며, 공유 스킬은 ~/.clawdbot/skills에서 사용할 수 있습니다.

---- 이미지 3번 ----

셸 명령 실행과 브라우저 자동화 기능 상세 분석

Moltbot은 텍스트를 생성하는 조언자 역할의 전통적인 챗봇과 달리, 호스트 머신에서 셸 명령어를 실행하고, 파일을 관리하며, 브라우저 작업을 자동화할 수 있는 자율 에이전트로 작동합니다. 이러한 기능은 Moltbot을 단순한 대화형 AI를 넘어 실질적인 작업 수행 도구로 만들어줍니다.

웹 자동화 및 브라우저 제어 기능을 통해 폼 작성, 데이터 스크래핑, 웹사이트 탐색을 내장 브라우저 통합을 사용하여 사용자 대신 수행할 수 있습니다. 항공권 예약, 예약 관리, 이메일 처리와 같은 복잡한 작업도 플랫폼 전반에 걸쳐 자율적으로 수행합니다.

DataCamp의 튜토리얼에 따르면, 사용자는 WhatsApp에서 PC를 제어할 수 있으며, 이를 통해 원격으로 다양한 작업을 수행할 수 있습니다. MacStories는 Moltbot을 "개인 AI 어시스턴트의 미래"라고 평가하기도 했습니다.

보안 취약점 경고: Shodan 스캔 결과와 미인증 인스턴스 발견

Moltbot의 강력한 기능은 동시에 심각한 보안 우려를 야기하고 있습니다. 보안 연구원 Jamieson O'Reilly는 기본적인 Shodan 검색("Clawdbot Control")을 통해 완전한 자격 증명, 전체 대화 기록, 합법적 사용자로서 메시지 전송 및 명령 실행 능력을 노출하는 인스턴스를 발견할 수 있음을 시연했습니다.

한 사용자는 Shodan을 통해 1분도 안 되는 시간에 약 780개의 인터넷에 노출된 Clawdbot 인스턴스를 발견했다고 확인했습니다. O'Reilly에 따르면 "수동으로 조사한 인스턴스 중 8개는 인증 없이 열려 있어 명령 실행 및 구성 데이터 보기에 대한 전체 접근을 노출하고 있었다"고 합니다. 일부 배포는 더욱 심각하여, 노출된 인스턴스 중 일부는 호스트 시스템에서 미인증 명령 실행을 허용했으며, 경우에 따라 상승된 권한으로 실행되고 있었습니다.

보안 회사 SlowMist는 게이트웨이 시스템의 인증 우회로 인해 수백 개의 API 키와 개인 대화 기록이 공개적으로 접근 가능하다고 발표했습니다. 발견된 취약점에는 디렉토리 샌드박싱이나 접근 제어 없는 전체 시스템 권한 접근, OAuth 시크릿과 봇 토큰을 노출하는 자격 증명 탈취 취약점, 5분 이내에 시연된 프롬프트 인젝션 공격으로 인한 무단 이메일 포워딩 등이 포함됩니다.

Hacker News 커뮤니티의 합의는 "무섭다. 디렉토리 샌드박싱이 없다"였습니다. 기술적 원인은 Clawdbot의 인증 메커니즘 설계에 있습니다. 시스템은 챌린지-응답 프로토콜을 갖춘 암호화 장치 ID를 가지고 있지만, 인증 없이 localhost 연결을 자동으로 허용합니다. 대부분의 실제 배포가 동일 서버에서 nginx나 Caddy를 리버스 프록시로 실행하기 때문에, 모든 연결이 127.0.0.1에서 오는 것으로 나타나 로컬로 처리되어 외부 접근도 자동으로 허용되는 것이 문제입니다.

샌드박스 운영 권장 사항과 보안 모범 사례

보안 전문가 O'Reilly는 다음과 같이 경고했습니다: "AI 에이전트는 설계상 그 모든 것을 무너뜨립니다. 파일을 읽고, 자격 증명에 접근하고, 명령을 실행하고, 외부 서비스와 상호작용해야 합니다. 가치 제안 자체가 우리가 수십 년 동안 구축한 모든 경계에 구멍을 뚫는 것을 요구합니다. 이러한 에이전트가 인터넷에 노출되거나 공급망을 통해 손상되면, 공격자는 그 모든 접근 권한을 상속받습니다."

안전한 Moltbot 운영을 위한 권장 사항은 다음과 같습니다:

권장 사항	상세 설명
Docker 샌드박싱	Docker를 통한 컨테이너화 배포로 에이전트가 접근할 수 있는 범위 제한
전용 하드웨어	메인 머신이 아닌 Mac Mini나 VPS와 같은 전용 하드웨어에서 실행
인터넷 노출 금지	컨트롤 패널을 공개 인터넷에 노출하지 않음
인증 설정 확인	리버스 프록시 뒤에서 운영 시 localhost 자동 인증 설정 비활성화
정기적 업데이트	보안 패치가 포함된 최신 버전으로 정기적 업데이트

iWeaver AI의 가이드에서는 "첫 번째 자율 AI 어시스턴트를 안전하게 배포하는 방법"을 제시하고 있으며, 최선의 보안을 위해 Docker를 통한 샌드박싱과 에이전트가 접근할 수 있는 범위 제한을 권장합니다. 메인 머신이 아닌 Mac Mini나 VPS와 같은 전용 하드웨어에서 실행하는 것이 보안성을 높이는 방법입니다.

Moltbot의 미래 전망과 AI 에이전트 생태계에 미치는 영향

Moltbot의 폭발적인 성장은 AI 에이전트 시장의 새로운 트렌드를 보여주고 있습니다. International Business Times에 따르면, Moltbot은 Mac Mini 판매량 증가와 테크 주식 상승에 영향을 미칠 정도로 시장에 파급력을 발휘하고 있습니다. 자가 호스팅 AI 에이전트에 대한 수요가 급증하면서 관련 하드웨어 시장도 활성화되고 있는 것입니다.

보안 우려에도 불구하고, Moltbot이 제시하는 '로컬 퍼스트' AI 에이전트 패러다임은 클라우드 의존성을 줄이고 개인정보를 보호하려는 사용자들에게 매력적인 대안으로 자리잡고 있습니다. 프라이버시와 자율성을 중시하는 사용자들에게 Moltbot은 강력한 선택지가 될 수 있으나, 그에 따르는 보안 책임도 함께 고려해야 합니다.

AI 에이전트 기술이 발전함에 따라, Moltbot과 같은 오픈소스 프로젝트들이 보안과 기능 사이의 균형을 어떻게 찾아가는지가 업계의 주요 관심사가 될 것입니다. Steinberger 팀이 보안 이슈에 어떻게 대응하고 커뮤니티의 신뢰를 유지하는지가 프로젝트의 장기적 성공을 좌우할 핵심 요소가 될 전망입니다.