2026년에 AI 에이전트 런타임을 평가하고 있다면, 1년 전과는 매우 다른 풍경을 이미 눈치챘을 것이다. 2024년과 2025년 대부분 이 분야를 지배했던 OpenClaw는 이제 심각한 보안 위기에 처해 있다. ZeroClaw는 가장 빠르게 성장하는 대안으로 부상했다. PicoClaw는 미니멀하고 해킹 가능한 것을 원하는 개발자들을 위한 틈새를 개척했다.
어느 것을 선택하느냐는 단순한 기술적 결정이 아니다——생태계 규모, 성능, 보안, 단순성, 또는 이 네 가지의 조합 중 무엇을 중시하는지에 대한 표명이다. 이 비교는 그 결정을 내리는 데 필요한 정보를 제공하려 한다.
세 프로젝트
OpenClaw는 오리지널이다. 2023년 TypeScript/Node.js 프로젝트로 시작해 활발한 플러그인 생태계를 통해 빠르게 성장했으며, 현재 30만 개 이상의 GitHub 스타를 보유하고 있다. 웹 UI는 세련됐고, 플러그인 마켓플레이스(ClawHub)에는 수천 개의 확장 기능이 있으며, 커뮤니티는 거대하다. 현재 CVE-2026-25253(원클릭 RCE, CVSS 8.8)과 CVE-2026-26327(인증 우회)을 처리 중이며, 프로젝트에 대한 신뢰가 흔들리고 있다.
ZeroClaw는 생태계 규모보다 성능과 보안을 우선시하는 Rust 네이티브 재작성이다. 2024년 말에 출시해 2026년 초까지 18,000개 이상의 GitHub 스타에 도달했으며, 이 분야의 다른 어떤 런타임보다 빠르게 성장하고 있다. 유휴 시 RAM 사용량은 4MB, 10밀리초 이내에 시작하며, 의존성 없는 단일 바이너리로 제공된다. 플러그인 마켓플레이스는 없다——설계상의 선택이다.
PicoClaw는 OpenClaw보다 더 단순하고 해킹 가능한 것을 원하는 커뮤니티의 욕구에서 나온 Python 기반 미니멀 포크다. 기능 세트가 작고, 커뮤니티도 작고, 공격 표면도 작다. 그 매력은 오후 한나절에 전체 코드베이스를 읽고 정확히 무엇을 하는지 완전히 이해할 수 있다는 것이다.
성능: 실제로 중요한 수치
이 런타임들 간의 성능 격차는 대부분의 사람들이 예상하는 것보다 크며, 배포 옵션과 운영 비용에 실제 영향을 미친다.
| 지표 | OpenClaw | ZeroClaw | PicoClaw | |--------|----------|----------|----------| | RAM (유휴) | ~1.2 GB | ~4 MB | ~180 MB | | 콜드 스타트 | ~8초 | <10ms | ~3초 | | 바이너리 크기 | ~800 MB (node_modules) | ~12 MB | ~50 MB (의존성 포함) | | 언어 | TypeScript | Rust | Python | | 최소 하드웨어 | 2GB RAM VPS | $10 SBC | 512MB RAM VPS |
ZeroClaw의 수치는 마케팅이 아니다——Rust의 제로 비용 추상화와 단일 바이너리 아키텍처의 직접적인 결과다. 초기화할 JavaScript 런타임 없음, 백그라운드에서 실행되는 가비지 컬렉터 없음, 메모리에 로드할 1,200개 패키지 의존성 트리 없음. 바이너리가 시작되고, 설정을 읽고, 밀리초 만에 메시지를 처리할 준비가 된다.
OpenClaw의 수치는 아키텍처 비용을 반영한다. Node.js는 유능한 런타임이지만 제거하기 어려운 오버헤드를 가지고 있다. V8 엔진, 모듈 시스템, 의존성 트리는 모두 첫 번째 메시지를 처리하기 전에 초기화되어야 한다. 그래서 OpenClaw는 최소 2GB VPS가 필요하고 시작하는 데 8초가 걸린다.
PicoClaw는 중간에 위치한다. Python 인터프리터는 네이티브 바이너리에 비해 여전히 상당한 오버헤드를 가지고 있다. 180MB 유휴 RAM 사용량과 3초 콜드 스타트는 많은 사용 사례에서 허용 가능하지만, OpenClaw가 처리할 수 없는 것과 동일한 제약된 하드웨어 시나리오를 배제한다.
보안: 격차가 가장 큰 부분
2026년의 보안 비교는 명확하며, 직접적으로 말할 가치가 있다.
OpenClaw는 현재 두 개의 치명적인 CVE를 처리 중이다. CVE-2026-25253은 원클릭 원격 코드 실행을 허용한다——공격자는 OpenClaw 사용자가 클릭하면 머신에서 임의의 코드를 실행하는 악성 링크를 만들 수 있다. CVE-2026-26327은 노출된 인스턴스에서 인증 우회를 허용한다. 42,000개 이상의 OpenClaw 인스턴스가 인터넷에 공개적으로 노출된 것이 발견됐으며, ClawHub 스킬의 41.7%에 취약점이 포함된 것으로 밝혀졌다. 이것들은 사소한 문제가 아니다; 플러그인 생태계를 깨지 않고 패치하기 어려운 근본적인 아키텍처 문제다.
ZeroClaw의 보안 모델은 다른 가정에서 시작한다. Rust의 소유권 시스템은 버퍼 오버플로우, use-after-free 취약점, 데이터 경쟁을 컴파일 타임에 제거한다——역사적으로 시스템 소프트웨어 CVE의 원천이었던 전체 취약점 클래스를. 게이트웨이 페어링은 원격 접근에 단순한 비밀번호가 아닌 암호화 인증을 요구한다. 기본 거부 허용 목록 모델은 스킬이 명시적으로 접근 권한을 부여받은 것에만 접근할 수 있음을 의미한다. 그리고 플러그인 마켓플레이스의 부재는 ClawHub 악성 스킬 캠페인을 가능하게 한 공급망 공격 표면을 제거한다.
PicoClaw의 보안 이야기는 더 단순하다: 기능이 적으므로 공격 표면이 작다. 플러그인 마켓플레이스 없음, 웹 UI 없음, 원격 접근 기능 없음. 트레이드오프는 공식 보안 모델도 없고, 감사도 없으며, Python의 동적 특성이 런타임 타입 오류로 인한 예상치 못한 동작을 일으킬 수 있다는 것이다. 신뢰할 수 있는 머신에서의 개인 사용에는 괜찮을 것이다. 민감한 데이터를 처리하는 프로덕션 배포에는 신중하게 평가해야 할 위험이다.
채널 지원
ZeroClaw는 WhatsApp, Telegram, Discord, Slack, Signal, Matrix, IRC, Lark/DingTalk를 포함한 30개 이상의 채널을 즉시 지원한다. OpenClaw는 플러그인 시스템을 통해 15개 이상을 지원한다. PicoClaw는 5개를 지원한다.
| 채널 | OpenClaw | ZeroClaw | PicoClaw | |---------|----------|----------|----------| | WhatsApp | 있음 | 있음 | 있음 | | Telegram | 있음 | 있음 | 있음 | | Discord | 있음 | 있음 | 있음 | | Slack | 있음 | 있음 | 없음 | | Signal | 커뮤니티 | 있음 | 없음 | | Matrix | 커뮤니티 | 있음 | 없음 | | IRC | 커뮤니티 | 있음 | 없음 | | Lark/DingTalk | 커뮤니티 | 있음 | 없음 | | 웹 UI | 내장 | 게이트웨이 경유 | 기본 | | 합계 | 15+ | 30+ | 5 |
더 흥미로운 차이는 새 채널이 어떻게 추가되는가다. ZeroClaw의 트레이트 기반 아키텍처는 새 채널 추가가 Rust 트레이트 구현을 의미한다——보통 50~100줄의 코드로 컴파일러가 정확성을 검증한다. OpenClaw는 채널 통합이 npm 패키지인 플러그인 시스템을 사용한다. PicoClaw는 저장소를 포크하고 통합을 직접 추가해야 한다.
AI 제공업체 지원
세 가지 모두 주요 제공업체를 지원한다: OpenAI, Anthropic, Google, 그리고 로컬 모델용 Ollama. ZeroClaw는 추가로 Groq, xAI, Mistral, DeepSeek, Perplexity를 즉시 지원한다. ZeroClaw에서 제공업체를 전환하는 것은 config.toml의 한 줄 변경이다——코드 수정 없음, 설치할 플러그인 없음, 재컴파일 없음.
각 선택 뒤의 아키텍처 철학
각 프로젝트가 아키텍처 선택을 한 이유를 이해하면 어떻게 발전할지 예측하는 데 도움이 된다.
OpenClaw는 접근성을 선택했다. JavaScript는 가장 널리 알려진 언어이고, 플러그인은 작성하기 쉬우며, 웹 UI는 비기술 사용자의 진입 장벽을 낮춘다. 이 선택들이 빠른 채택을 이끌었다. 동시에 지금 문제를 일으키고 있는 보안과 성능 특성도 만들어냈다. 허용적인 아키텍처에 보안을 나중에 추가하는 것은 정말 어렵고, OpenClaw 팀은 지금 그것을 발견하고 있다.
ZeroClaw는 정확성을 선택했다. Rust는 컴파일 타임에 메모리 안전성을 강제하고, 트레이트 시스템은 타입 안전한 확장성을 보장하며, 단일 바이너리는 배포 복잡성을 제거한다. 이 선택들은 ZeroClaw에 기여하기 어렵게 만든다——Rust는 TypeScript보다 학습 곡선이 가파르다——하지만 동시에 기본적으로 더 신뢰할 수 있고, 더 안전하고, 더 성능이 좋게 만든다.
PicoClaw는 단순성을 선택했다. Python은 읽기 쉽고, 코드베이스는 완전히 이해할 수 있을 만큼 작으며, 해킹이 빠르다. 그 단순성은 도구를 이해하고 수정하고 싶은 개발자들에게 진정한 가치가 있다. 트레이드오프는 제한된 기능과 공식 보안 모델이 없다는 것이다.
어느 것이 당신에게 맞는가
가장 큰 플러그인 생태계와 세련된 웹 UI가 필요하고, 방화벽, VPN 접근, 정기 업데이트, 신중한 플러그인 검토 등의 보안 강화에 투자할 의향이 있다면——OpenClaw는 여전히 선택지다. 단, 현재 보안 상황을 충분히 이해한 채로.
리소스 효율성, 보안, 엣지 배포, 또는 제약된 하드웨어에서의 실행을 중시한다면, ZeroClaw가 프로덕션 사용의 명확한 선택이다. 작은 생태계는 실제 트레이드오프지만, 보안과 성능 특성은 따라오기 어렵다.
개인 프로젝트나 프로토타이핑을 위한 미니멀하고 해킹 가능한 Python 코드베이스를 원하고, AI 어시스턴트가 실행하는 모든 코드를 이해하고 싶다면, PicoClaw는 볼 가치가 있다. ZeroClaw처럼 프로덕션 준비가 된 것은 아니지만, 그것을 목표로 하는 것도 아니다.
AI 에이전트 런타임 분야는 아직 젊고, 이 프로젝트들 간의 경쟁은 건전하다. 하지만 궤적은 명확하다: "그럭저럭 괜찮은" 보안과 "내 머신에서는 작동한다" 성능의 시대는 끝나가고 있다. 프로덕션 AI 인프라는 프로덕션 인프라처럼 구축되어야 한다.