상위 허브 문서: AI 에이전트 도입 가이드: 챗봇이 아니라 ‘실행 권한’을 어떻게 통제할 것인가
핵심 요약
로컬 AI 에이전트의 위험은 “답을 틀린다”가 아니다.
내 기기, 내 계정, 내 메시지로 실제 행동이 이어지는 구조에서 권한·세션·플러그인·로그·운영 부담이 동시에 커진다.
이 글은 Moltbot 사례를 기준으로, 로컬 실행형 에이전트가 왜 불편해지고 어디서 사고가 커지는지 구조적 단점만 뽑아 정리한다.
확정한 앵글
몰트봇의 단점은 “답을 틀린다”가 아니라 내 기기·내 계정·내 메시지로 실제 행동이 이어지는 구조에서 터집니다.
그래서 이 글은 기능 소개를 빼고, 공식 문서/이슈 트래커에서 확인되는 구조적 단점만 뽑아 “어떤 사람에게 치명적인지”까지 정리합니다.
몰트봇의 단점은 대부분 ‘설계 철학’에서 나온다
몰트봇은 채팅앱에서 명령을 받고, 게이트웨이(항상 켜진 프로세스)가 도구/노드/플러그인을 통해 실제 작업을 수행하는 형태입니다.
이 구조가 강점이기도 하지만, 동시에 단점이 됩니다. 단점은 대체로 권한·로그·확장·운영에서 발생합니다.
단점 1: “완벽하게 안전한 셋업은 없다”가 전제다
공식 보안 문서는 몰트봇을 “제품이면서 실험”으로 규정하며, 현실의 메신징 표면과 현실의 도구를 연결하는 만큼 완벽히 안전한 구성은 없다고 명시합니다.
이 말의 실제 의미는 간단합니다. 안전은 기능 옵션이 아니라 운영자의 설계 책임입니다.
보안 설계의 정본 문서는 여기입니다: Gateway Security
단점 2: 로컬에 “세션/자격증명/상태”가 남는다
공식 문서에는 로컬 권한을 조여야 하는 경로 예시가 구체적으로 제시됩니다. 예: ~/.clawdbot, credentials/*.json, agents/*/sessions/sessions.json 등.
즉, “클라우드에 남지 않는다”가 아니라 내 디스크에 남는다에 가깝습니다.
단점은 운영 비용입니다. PC 사용자 계정 분리, 파일 권한, 백업/동기화 정책을 갖추지 않으면 민감 정보가 “평문 로그”로 남을 수 있습니다.
단점 3: 도구 실행이 곧 ‘폭발 반경’이다
몰트봇은 도구/노드를 통해 파일·네트워크·쉘 같은 “행동”에 접근할 수 있습니다.
이때 단점은 실수의 비용입니다. 평범한 챗봇은 헛소리를 하면 끝나지만, 실행형 에이전트는 헛소리가 실행 계획이 되고, 실행이 되면 흔적이 남습니다.
공식 보안 문서가 “누가 말 걸 수 있는지, 무엇을 만질 수 있는지, 어디까지 허용할지”를 가장 먼저 설계하라고 강조하는 이유도 여기에 있습니다.
단점 4: 플러그인/확장이 ‘공급망 리스크’로 바뀐다
몰트봇은 확장성이 장점입니다. 하지만 보안 관점에서는 “서드파티 코드 실행”이기도 합니다.
최근 공개된 보안 감사 이슈(#1792)는 플러그인 로더가 샌드박싱/격리 없이 로딩되어 시스템 권한으로 임의 코드 실행이 가능하다는 위험을 구체적으로 제기합니다.
이 이슈는 단일 결함보다 더 큰 메시지를 줍니다. 확장을 쉽게 붙이는 순간, 위험은 “몰트봇”이 아니라 내가 설치한 플러그인 전체로 전이됩니다.
사실관계 확인용 원문: Security Issues Findings #1792
단점 5: ‘로컬’이어도 데이터가 밖으로 나갈 수 있다
몰트봇의 응답 생성은 보통 외부 모델 제공자 API(선택한 벤더)로 라우팅되는 구성이 많습니다.
그래서 “로컬로 돈다 = 데이터가 절대 외부로 안 나간다”는 등식은 성립하지 않습니다.
단점은 정책 설계 난이도입니다. 어떤 메시지가 어떤 모델로 나가며, 어떤 로그가 어디에 남는지에 대한 데이터 흐름 가시화가 없으면 오해가 생깁니다.
단점 6: 완전 로컬 모델은 ‘장비비’로 돌아온다
공식 문서의 Local models 섹션은 작은 GPU/작은 모델에서 컨텍스트가 잘리고 방어가 약해질 수 있다고 경고하며, 제대로 운영하려면 고사양 장비 수준을 권장합니다.
즉, 클라우드 비용을 피하려고 로컬로 가면, 초기 장비비/전력/운영 부담이 단점으로 돌아올 수 있습니다.
단점 7: ‘설치’보다 ‘운영’이 더 어렵다
게이트웨이 기반 도구는 시간이 갈수록 설정과 변수가 늘어납니다.
채널별 인증 방식 차이, 네트워크 바인딩/토큰 정책, 장애 진단(로그/상태/헬스체크) 같은 운영 요소가 누적됩니다.
단점은 사용 경험입니다. 초기에 잘 되다가도 업데이트·환경 변화로 “어제 되던 게 오늘 안 되는” 구간이 생길 수 있습니다.
시각 앵커: 로컬 실행형 에이전트 체크리스트
| 질문 | YES면 의미 |
|---|---|
| 봇이 접근하는 채팅방에 ‘외부 사람’이 들어올 수 있나 | 프롬프트 인젝션/오작동 유도 위험이 급증 |
| 게이트웨이가 만질 수 있는 폴더/앱 범위를 제한했나 | NO면, 실수의 폭발 반경이 넓다 |
| 자격증명/세션 파일이 저장되는 위치와 권한을 알고 있나 | NO면, ‘로컬 유출’ 가능성이 현실화 |
| 플러그인을 설치할 때 출처/코드/권한을 검증하나 | NO면, 공급망 리스크를 그대로 가져온다 |
| 외부 모델 제공자로 나가는 데이터 범위를 문서화했나 | NO면, “로컬이라 안전”이라는 착각이 생김 |
| 업데이트/장애 발생 시 되돌릴 롤백 루틴이 있나 | NO면, 운영 스트레스가 누적 |
결론: 로컬 AI 에이전트의 단점은 ‘실행형’의 대가다
몰트봇은 “내 대신 일을 한다”는 매력만큼, “내 권한으로 움직인다”는 부담을 함께 가져옵니다.
단점을 줄이려면, 기능을 더 쓰기 전에 권한을 더 줄이는 설계부터 해야 합니다.