OpenLegion vs nanobot: CVSS 10.0 취약점이 에이전트 보안에 대해 가르치는 것
nanobot은 아마도 AI 에이전트 보안 공간에서 가장 교훈적인 사례 연구일 것입니다. 2026년 초 학술 연구실에서 만들었으며, OpenClaw의 430,000+ 줄을 약 4,000 줄의 Python으로 압축합니다 — Hacker News에서 218점(모든 Claw 대안 중 가장 강력한 반응)을 받고 약 20,000~26,000 GitHub 스타를 얻은 99% 코드 감소입니다.
그러나 출시 후 몇 주 만에 보안 연구자들이 **치명적 취약점(CVSS 10.0)**을 공개했습니다: nanobot의 WhatsApp 브리지는 WebSocket 서버를 어떤 인증도 없이 0.0.0.0:3001에 바인딩했습니다. 네트워크의 누구나 WhatsApp 세션을 하이재킹할 수 있었습니다. 추가 치명적 취약점이 뒤따랐습니다 — 셸 명령 인젝션, 경로 탐색 우회, LiteLLM 종속성에서 상속된 원격 코드 실행 결함.
nanobot은 우연히 경량 코드 자체가 안전한 코드와 같지 않은 이유에 대한 사례 연구가 된 선의의 교육 도구입니다. OpenLegion은 이 교훈을 구조적으로 만들기 위해 존재합니다.
OpenLegion은 필수 Docker 컨테이너 격리, 볼트 프록시 자격 증명 관리, 에이전트별 예산 시행, 플릿 모델 조율(블랙보드 + pub/sub + 핸드오프)을 갖춘 보안 우선 AI 에이전트 프레임워크입니다.
OpenLegion과 nanobot의 차이는 무엇입니까?
nanobot은 교육적 단순성과 가독성에 초점을 맞춘 OpenClaw의 ~4,000줄 Python 재구현입니다. 11+ LLM 제공자와 8+ 메시징 채널을 지원하지만 치명적 WhatsApp 브리지 취약점(CVSS 10.0, 인증되지 않은 WhatsApp 세션 하이재킹), 셸 인젝션, 경로 탐색, LiteLLM RCE 취약점을 겪었습니다. OpenLegion은 에이전트당 필수 Docker 컨테이너 격리, 에이전트가 API 키를 절대 보지 않는 볼트 프록시 자격 증명 관리, 에이전트별 예산 시행, 플릿 모델 조율(블랙보드 + pub/sub + 핸드오프)을 갖춘 보안 우선 Python 프레임워크입니다. nanobot은 학습과 단순성을 위해 최적화되었고, OpenLegion은 프로덕션 보안을 위해 최적화되었습니다.
핵심 요약
| 차원 | OpenLegion | nanobot |
|---|---|---|
| 주요 초점 | 프로덕션 보안 인프라 | 교육적 단순성 |
| 언어 | Python | Python (~4,000줄) |
| 에이전트 격리 | 에이전트당 Docker 컨테이너, 비루트 | restrict_to_workspace 플래그 (애플리케이션 수준) |
| 자격 증명 보안 | 볼트 프록시 — 에이전트가 키를 절대 보지 않음 | 구성 파일 (~/.nanobot/config.json) |
| 예산 통제 | 에이전트별 일별/월별 하드 컷오프 | 내장 없음 |
| 오케스트레이션 | 플릿 모델 조율 (블랙보드 + pub/sub + 핸드오프) | 백그라운드 서브 에이전트가 있는 단일 에이전트 |
| LLM 제공자 | LiteLLM 통한 100+ | 11+ (OpenRouter, Anthropic, OpenAI, DeepSeek 등) |
| 메시징 채널 | 5 | 8+ (Telegram, Discord, WhatsApp, Feishu, DingTalk 등) |
| 멀티 에이전트 | 에이전트별 ACL이 있는 플릿 템플릿 | 서브 에이전트 스폰 (플릿 오케스트레이션 없음) |
| 메모리 | 벡터 검색이 있는 에이전트별 영속 | grep 기반 검색 (의도적으로 RAG 회피) |
| GitHub 스타 | ~59 | ~20,000-26,000 |
| 라이선스 | PolyForm Perimeter License 1.0.1 | MIT |
| 알려진 CVE | 0 | 치명적 WhatsApp 브리지 취약점 (CVSS 10.0) + 3개 추가 치명적 패치 |
| 출처 | 독립 | 학술 연구실 |
nanobot을 선택해야 할 때...
AI 에이전트가 어떻게 작동하는지 배우고 싶은 경우. nanobot은 교육 골격입니다. 명확한 구조의 4,000줄로, 핵심 에이전트 루프를 이해하기에 가장 좋은 코드베이스입니다: 제공자 추상화, 도구 디스패치, 메모리 검색, 채팅 게이트웨이. DataCamp는 전체 튜토리얼을 발표했습니다. 창작자들은 명시적으로 교육적 가독성을 위해 설계했습니다.
아시아 메시징 플랫폼 지원이 필요한 경우. nanobot은 Feishu(Lark), DingTalk, QQ, WeChat 인접 플랫폼 — 서구 중심 프레임워크가 잘 커버하지 않는 채널 — 에 대해 1급 지원을 가지고 있습니다. 배포가 중국 엔터프라이즈 메시징을 대상으로 한다면 nanobot의 생태계는 독특하게 자리잡혀 있습니다.
Raspberry Pi에서 에이전트를 실행하고 싶은 경우. nanobot은 단일 보드 컴퓨터에 충분히 가볍습니다. 로컬 추론을 위한 Ollama와 결합하면 완전히 오프라인 에이전트 운영을 얻습니다.
인프라보다 단순성을 가치 있게 여기는 경우. JSON 구성, grep 기반 메모리(벡터 데이터베이스 필요 없음), pip 설치. Docker도, 플릿 모델 조율도, 볼트 셋업도 없습니다. 설치에서 실행 중인 에이전트까지 5분 이내.
커뮤니티 모멘텀이 중요한 경우. nanobot의 218점 HN 출시, 활발한 Discord, DataCamp 통합, ~20,000+ 스타는 상당한 커뮤니티 투자와 문제를 빠르게 수정하는 큰 기여자 풀(CVSS 10.0은 며칠 내에 패치됨)을 나타냅니다.
OpenLegion을 선택해야 할 때...
보안이 선택이 아닌 아키텍처여야 하는 경우. nanobot의 restrict_to_workspace 플래그는 주요 격리 메커니즘입니다 — 끌 수 있는 불리언입니다. API 키는 평문 JSON 구성 파일에 있습니다. WebSocket 서버는 인증 없이 출시되었습니다. 이는 모호한 엣지 케이스가 아니라 — 몇 주 만에 CVSS 10.0을 생성한 근본적인 아키텍처 결정입니다. OpenLegion은 안전하지 않은 구성을 구조적으로 불가능하게 만듭니다: 컨테이너 격리가 필수이고, 볼트 프록시가 유일한 자격 증명 경로이며, 플릿 모델 조율은 에이전트별 도구 루프 감지로 제한됩니다.
프로덕션에서 CVSS 10.0을 감당할 수 없는 경우. 치명적 WhatsApp 브리지 취약점은 인증되지 않은 네트워크 인접 공격자가 보호되지 않은 nanobot의 포트 3001 WebSocket 서버에 연결하여 WhatsApp 세션을 하이재킹할 수 있게 했습니다. 추가 셸 인젝션과 경로 탐색 취약점은 한 보안 연구자가 한 번의 감사에서 발견했습니다. OpenLegion의 볼트 프록시 아키텍처는 하이재킹할 자격 증명이 없음을 의미합니다 — 에이전트는 네트워크 레이어에서 키를 주입하는 프록시를 통해 호출합니다.
에이전트별 비용 통제가 필요한 경우. nanobot은 예산 시행이 없습니다. 11+ 제공자 지원과 백그라운드 서브 에이전트 스폰 능력으로 통제되지 않은 API 지출이 조용히 누적됩니다. OpenLegion은 자동 하드 컷오프와 함께 에이전트별 일별 및 월별 한도를 시행합니다.
감사 가능한 멀티 에이전트 플릿 조율이 필요한 경우. nanobot은 서브 에이전트 스폰을 지원하지만 오케스트레이션은 LLM 주도이며 비결정론적입니다. OpenLegion의 플릿 모델 조율은 에이전트별로 명시적인 핸드오프 레코드, 도구 접근, 종속성을 정의합니다 — 배포 전에 감사 가능합니다.
이해관계자에게 보안 자세를 입증해야 하는 경우. nanobot의 CVE 이력은 보안 팀, 컴플라이언스 검토자 또는 엔터프라이즈 조달에 어려운 판매를 만듭니다. OpenLegion의 볼트 프록시 아키텍처, 필수 컨테이너 격리, 에이전트별 ACL은 시연 가능한 보안 통제를 제공합니다.
보안 모델 비교
비밀이 어디에 있는가
nanobot은 API 키를 ~/.nanobot/config.json에 저장합니다 — 디스크의 평문 JSON 파일. 구성 파일은 처음에 0644 권한(전 세계 읽기 가능)으로 작성되었으며, 이후 0600으로 패치되었습니다. 런타임에 키는 Python 프로세스 메모리에 로드됩니다. 에이전트 프로세스 내에서 실행되는 모든 코드가 이를 읽을 수 있습니다.
OpenLegion은 에이전트가 접근할 수 없는 볼트에 자격 증명을 저장합니다. API 호출은 네트워크 수준에서 자격 증명을 주입하는 볼트 프록시를 통해 라우팅됩니다. 평문 키가 있는 구성 파일도, 비밀이 있는 환경 변수도, 마운트된 자격 증명 파일도 없습니다. 에이전트 프로세스는 API 키를 절대 보유하지 않습니다.
격리 모델
nanobot은 파일 작업을 워크스페이스 디렉토리로 제한하는 restrict_to_workspace 플래그를 사용합니다. 이는 Python 코드의 애플리케이션 수준 검사입니다 — 에이전트가 임의 코드 실행을 달성하면(셸 인젝션 취약점이 가능함을 시연한) 워크스페이스 제한이 우회될 수 있습니다. OS 수준 격리는 시행되지 않습니다.
OpenLegion은 에이전트당 Docker 컨테이너 격리를 사용합니다. 각 에이전트는 비루트 실행, Docker 소켓 접근 없음, no-new-privileges, 컨테이너별 리소스 한도와 함께 별도 컨테이너에서 실행됩니다. 에이전트가 컨테이너 내에서 임의 코드 실행을 달성하더라도 다른 에이전트, 호스트 시스템, 자격 증명 저장소에 접근할 수 없습니다.
CVE 기록
nanobot은 짧은 존재 기간 동안 상당한 보안 문제를 누적했습니다:
- 치명적 WhatsApp 브리지 취약점 (CVSS 10.0): WhatsApp WebSocket 브리지가 인증 없이 0.0.0.0:3001에 바인딩됨. 네트워크 인접 공격자가 세션을 하이재킹할 수 있었습니다. 보안 연구자들이 발견.
- 셸 명령 인젝션 (Medium): 새니타이즈되지 않은 사용자 입력이 셸 실행에 전달됨.
- 경로 탐색 우회 (Medium):
restrict_to_workspace가 우회될 수 있었습니다. eval()를 통한 LiteLLM RCE (Critical): 종속성에서 상속됨. 조작된 입력을 통한 원격 코드 실행.- 세션 포이즈닝 (2026년 2월 26일 패치): 메시지 기록 조작.
OpenLegion은 v0.1.0 기준으로 보고된 CVE가 없습니다. 아키텍처는 nanobot의 여러 취약점 클래스를 구조적으로 불가능하게 만듭니다: 볼트 프록시는 자격 증명 노출을 제거하고, Docker 격리는 경로 탐색 탈출을 방지하며, 플릿 모델 조율은 명시적 도구 권한 없이 임의 셸 실행을 방지합니다.
예산 통제
nanobot은 내장 지출 한도가 없습니다. 백그라운드 서브 에이전트는 한도 없이 API 호출을 할 수 있습니다.
OpenLegion은 자동 하드 컷오프와 함께 에이전트별 일별 및 월별 한도를 시행합니다.
nanobot의 생태계: 가장 잘하는 것
교육 골격
nanobot의 가장 큰 기여는 교육적입니다. 핵심 에이전트 루프 — 메시지 수신, 컨텍스트 검색, LLM 호출, 도구 디스패치, 응답 반환 — 가 깨끗하고 읽기 쉬운 Python으로 드러나 있습니다. RAG 대신 grep 기반 메모리 검색을 사용하는 의도적 선택은 검색 메커니즘을 투명하게 만듭니다. JSON 구성은 사람이 읽을 수 있습니다. 모든 아키텍처 결정은 정교함보다 이해를 우선시합니다.
AI 에이전트가 내부적으로 어떻게 작동하는지 배우는 학생, 연구자, 개발자에게 nanobot은 거의 틀림없이 가장 좋은 출발점입니다.
아시아 플랫폼 통합
nanobot의 채널 지원에는 Feishu(Lark), DingTalk, QQ, Matrix — 중국 엔터프라이즈 통신을 지배하는 플랫폼 — 가 포함됩니다. OpenClaw 생태계의 다른 어떤 프레임워크도 비교 가능한 커버리지를 제공하지 않습니다. 프로젝트의 학술적 출처가 이 초점을 설명할 가능성이 높으며, 이는 아시아 시장에서 운영되는 팀에 진정한 가치를 나타냅니다.
ClawHub 스킬 호환성
nanobot은 ClawHub 스킬 생태계와 통합되어 커뮤니티 기여 에이전트 스킬에 접근할 수 있습니다. SKILL.md 문서 형식은 nanobot, PicoClaw, 다른 Claw 계열 프로젝트 전반에서 공유됩니다.
빠른 대응 문화
치명적 WhatsApp 브리지 취약점이 공개되었을 때 nanobot 팀은 며칠 내에 패치했습니다. 세션 포이즈닝 수정은 2월 26일에 도착했습니다. 셸 인젝션과 경로 탐색은 빠르게 해결되었습니다. 커뮤니티의 응답성은 진정으로 인상적입니다 — 그러나 이는 또한 문제가 처음부터 출시되지 말았어야 했음을 강조합니다.
일반적인 프로덕션 함정
근본적인 문제는 아키텍처적입니다. nanobot은 프로덕션에서 인기를 얻은 교육 도구로 설계되었습니다. 보안 모델 — 애플리케이션 수준 워크스페이스 제한, 평문 구성, 네트워크 격리 없음 — 은 로컬 실험에 적절하지만 프로덕션에서는 위험합니다. CVSS 10.0은 복잡한 코드의 버그가 아니었습니다. 인증이 없는 WebSocket 서버였습니다. 이는 아키텍처적 보안 제약이 방지하는 종류의 간과입니다.
종속성 체인 위험. LiteLLM RCE(eval()을 통한)는 최소한의 코드베이스조차 종속성에서 취약점을 상속한다는 것을 보여줍니다. nanobot의 ~4,000줄은 감사 가능하지만 전체 종속성 트리는 그렇지 않습니다.
네트워크 보안 모델 없음. nanobot은 네트워크 정책, 인그레스 통제 또는 서비스 메시 격리 개념이 없습니다. 에이전트는 임의의 아웃바운드 연결을 만들 수 있습니다. 셸 접근과 결합되어 광범위한 공격 표면을 만듭니다.
OpenLegion이 다르게 커버하는 것
OpenLegion의 아키텍처는 설계상 nanobot의 취약점 클래스를 방지합니다:
- 치명적 WhatsApp 브리지 취약점 (인증되지 않은 네트워크 서비스): OpenLegion 에이전트는 기본적으로 노출된 포트가 없는 Docker 컨테이너에서 실행됩니다. 네트워크 접근은 에이전트별로 명시적으로 부여됩니다.
- 셸 인젝션: OpenLegion의 플릿 모델 조율은 명시적 도구 권한을 요구합니다. 셸 접근은 에이전트의 ACL에서 구체적으로 활성화되지 않는 한 사용 불가능합니다.
- 경로 탐색: 읽기 전용 마운트와 Docker 소켓 없음을 갖춘 Docker 컨테이너 격리는 의미 있는 공격 벡터로서의 경로 탐색을 제거합니다.
- 자격 증명 노출: 볼트 프록시는 훔칠 자격 증명이 에이전트의 환경에 존재하지 않음을 의미합니다.
- 종속성 RCE: 컨테이너 격리는 폭발 반경을 제한합니다 — 종속성에 RCE가 있더라도 공격자는 자격 증명이 없는 샌드박스 컨테이너에 갇힙니다.
호스팅 vs 셀프 호스팅 트레이드오프
nanobot은 로컬 셀프 호스팅을 위해 설계되었습니다. pip 설치, JSON 구성, 분 단위로 실행 중인 에이전트. 호스팅 서비스는 존재하지 않습니다. 경량 특성은 모든 Linux 시스템, macOS 또는 Raspberry Pi가 호스팅할 수 있음을 의미합니다.
OpenLegion은 Python, SQLite, Docker를 요구합니다. 호스팅 플랫폼(곧 출시)은 월 $19에 사용자당 VPS 인스턴스를 제공합니다. Docker 요구사항은 인프라 오버헤드를 더하지만 프로덕션 배포를 안전하게 만드는 격리 레이어를 제공합니다.
누구를 위한 것인가
nanobot은 깨끗하고 읽기 쉬운 코드베이스를 통해 AI 에이전트 아키텍처를 이해하고자 하는 학생, 연구자, 개별 개발자를 위한 것입니다. 아시아 메시징 플랫폼(Feishu, DingTalk, QQ)을 대상으로 하는 팀에게도 가치 있습니다. 이상적인 사용자는 개인 작업을 위해 로컬로 nanobot을 실행하며 신뢰할 수 없는 네트워크에 노출하지 않습니다.
OpenLegion은 보안 인시던트가 비즈니스 결과를 가지는 환경에 에이전트를 배포하는 엔지니어링 팀을 위한 것입니다. 이상적인 사용자는 이해관계자에게 자격 증명 격리, 비용 통제, 감사 트레일을 입증해야 하며 — 프로덕션에서 CVSS 10.0을 위험에 노출할 수 없습니다.
솔직한 트레이드오프
nanobot은 AI 에이전트 런타임을 4,000줄로 재구축할 수 있음을 증명합니다. 그 성취는 실제이며 생태계에 가치가 있습니다. 그러나 치명적 WhatsApp 브리지 취약점은 단순성과 보안이 같지 않음을 증명합니다. CVSS 10.0이 있는 4,000줄 코드베이스는 해당 취약점 클래스를 불가능하게 만드는 아키텍처적 제약이 있는 ~77,000줄 코드베이스보다 덜 안전합니다.
에이전트가 어떻게 작동하는지 배우고 싶다면 nanobot의 소스를 읽으십시오. 에이전트를 안전하게 배포하고 싶다면 안전하지 않은 구성이 발생할 수 없는 프레임워크를 사용하십시오.
전체 환경은 AI 에이전트 프레임워크 비교를 참조하십시오.
열망이 아닌 아키텍처적 보안으로 에이전트를 배포하십시오.
자주 묻는 질문
nanobot이란 무엇입니까?
nanobot은 학술 연구실이 만든 OpenClaw의 4,000줄 Python 재구현입니다. 11+ LLM 제공자와 8+ 메시징 채널(Feishu, DingTalk, QQ 같은 아시아 플랫폼 포함)을 지원합니다. 2026년 2월 2일에 출시되었으며 약 20,00026,000 GitHub 스타를 보유하고 있습니다. 모든 OpenClaw 대안 중 가장 강력한 Hacker News 반응(218점, 111 댓글)을 받았습니다.
OpenLegion vs nanobot: 차이는 무엇입니까?
nanobot은 교육 골격입니다 — 최소한이고, 읽기 쉽고, 학습을 위해 설계되었습니다. OpenLegion은 프로덕션 보안 프레임워크입니다. nanobot은 애플리케이션 수준 워크스페이스 제한과 평문 JSON 구성을 사용합니다. OpenLegion은 Docker 컨테이너 격리와 볼트 프록시 자격 증명을 사용합니다. nanobot은 치명적 WhatsApp 브리지 취약점(CVSS 10.0)에 더해 3개의 추가 치명적 취약점을 겪었습니다. OpenLegion은 v0.1.0 기준으로 보고된 CVE가 없으며 해당 취약점 클래스를 구조적으로 불가능하게 만드는 아키텍처를 가지고 있습니다.
OpenLegion은 nanobot 대안입니까?
그렇습니다. 둘 다 Python 기반 AI 에이전트 프레임워크이지만 다른 목적에 봉사합니다. nanobot은 학습과 로컬 실험에 가장 좋습니다. OpenLegion은 프로덕션급 보안 — 볼트 프록시 자격 증명 격리, 에이전트별 예산 시행, Docker 컨테이너 격리, 플릿 모델 조율(블랙보드 + pub/sub + 핸드오프) — 이 필요한 팀을 위한 대안입니다.
OpenLegion과 nanobot 사이의 자격 증명 처리는 어떻게 비교됩니까?
nanobot은 API 키를 ~/.nanobot/config.json(패치 전까지 처음에 전 세계 읽기 가능)에 저장합니다. 키는 런타임에 Python 프로세스 메모리에 로드됩니다. OpenLegion은 볼트 프록시를 사용합니다 — 에이전트는 네트워크 수준에서 자격 증명을 주입하는 프록시를 통해 API 호출을 합니다. 에이전트는 어떤 형태로도 API 키를 보유, 읽기 또는 접근할 수 없습니다.
프로덕션 AI 에이전트에 어느 것이 더 낫습니까?
OpenLegion은 프로덕션에 훨씬 더 적합합니다. nanobot은 교육 도구로 설계되었으며 출시 후 몇 주 만에 치명적 WhatsApp 브리지 취약점(CVSS 10.0), 셸 인젝션, 경로 탐색, 종속성 RCE 취약점을 누적했습니다. OpenLegion의 필수 컨테이너 격리, 볼트 프록시 자격 증명, 에이전트별 예산, 감사 가능한 플릿 모델 조율은 nanobot에 영향을 미친 정확한 취약점 클래스를 해결합니다.
nanobot은 nanobot(Obot AI)과 동일합니까?
아닙니다. 이름을 공유하는 두 개의 완전히 다른 프로젝트가 있습니다. 이 페이지에서 논의되는 nanobot은 학술 연구실의 ~4,000줄 Python OpenClaw 대안입니다. Obot AI의 nanobot은 Rancher Labs 팀이 시드 펀딩으로 $35M의 지원을 받는 Go 기반 MCP 에이전트 플랫폼입니다. 이 페이지는 OpenLegion을 Python OpenClaw 대안 버전과 비교합니다.
nanobot의 치명적 WhatsApp 브리지 취약점은 무엇이었습니까?
nanobot의 WhatsApp 브리지는 WebSocket 서버가 어떤 인증도 없이 0.0.0.0:3001에 바인딩된 치명적 취약점(CVSS 10.0)을 포함했습니다. 네트워크 인접 공격자가 연결하여 활성 WhatsApp 세션을 하이재킹할 수 있었습니다. 빠르게 패치되었지만 아키텍처적 네트워크 격리 없이 에이전트 프레임워크를 배포하는 위험을 보여줍니다.
nanobot에서 OpenLegion으로 마이그레이션할 수 있습니까?
nanobot의 JSON 구성과 에이전트 셋업은 명시적 도구 권한, 예산 한도, 에이전트별 ACL이 있는 플릿 모델 조율로 재구성될 것입니다. LLM 제공자 설정은 둘 다 LiteLLM 호환 제공자 구성을 사용하므로 직접 이전됩니다. AI 에이전트 오케스트레이션 페이지를 참조하십시오.
관련 비교
| 앵커 텍스트 | 대상 |
|---|---|
| OpenLegion vs NanoClaw | /comparison/nanoclaw |
| OpenLegion vs PicoClaw | /comparison/picoclaw |
| OpenLegion vs ZeroClaw | /comparison/zeroclaw |
| OpenLegion vs OpenClaw | /comparison/openclaw |
| AI 에이전트 프레임워크 비교 2026 | /learn/ai-agent-frameworks |
| AI 에이전트 보안 분석 | /learn/ai-agent-security |