2025년 10~11월: 출시 후 2주 만에 1만 스타. 11월 초 5만. ClawHub 마켓플레이스 11월에 200 스킬로 시작, 월말 1,000+.
12월: 보안 연구자들이 0.0.0.0 바인딩, 풀 OS 권한 스킬, Origin 미검증 WebSocket, 무기한 bearer 토큰 문제 제기. GitHub issue로 보고되었으나 패치 미출시.
1월 14일: CVE-2026-25253 (CVSS 8.8). 1월 30일 패치. 42,000+ 인스턴스 노출, 63% 미패치.
2월 1~3일: Koi Security ClawHavoc 공개. XDA "Please Stop Using OpenClaw". HN 2,000+ 댓글.
2월 4~16일: 추가 CVE 3건. 824개 악성 스킬. 82개국 135,000+ 인스턴스.
3월 18~21일: 4일간 9개 CVE. 하나는 CVSS 9.9. 3월 말 CVE 총 31건.
교훈: (1) 아키텍처가 보안 천장을 결정한다. (2) 보안 없는 성장은 복합 리스크. (3) 마켓플레이스는 공격 면적. (4) 기본 설정이 실제 보안 자세.