최근에 핫한 오픈클로(몰트봇)을 시도하는 분들이 상당히 많을 것이고, 반면에 보안이 걱정되어 시도를 못하는 분들도 있을 겁니다.

정보를 외부 AI에 맡긴다는 것은 다양한 취약점이 있을 수밖에 없고, 보안이 완벽하게 해결될 수는 없습니다. 그렇지만 본인이 공격 벡터를 다양하게 알수록 더 나은 시스템을 만들 수 있습니다. 여러 프레임워크가 있지만 기본적으로는 CIA Triad를 통해 스스로 셀프 체크해보는 것을 추천드립니다.

[1] 기밀성 (Confidentiality): 허가된 사람만 정보에 접근할 수 있는가?

AI 에이전트는 파일 읽기 권한이 있고, 네트워크 요청도 보낼 수 있습니다. 이 조합이 문제입니다. 민감한 데이터를 읽어서 외부로 빼돌리는 게 기술적으로 가능합니다.

탈취 대상:
- ~/.ssh, ~/.aws/credentials, ~/.config/gcloud: 키를 읽어서 외부로 전송 가능
- ~/.git-credentials + .git/config: 레포 접근뿐 아니라 user.email, remote URL로 조직 구조 파악 가능
- 브라우저 프로필 (cookies, local storage): 세션 토큰 탈취하면 2FA도 소용없음
- CLAUDE.md, .cursorrules, skills/: 프로젝트 컨텍스트, 내부 API 스펙이 평문으로 들어있음
- ~/.bash_history, ~/.zsh_history: 과거 명령어에 실수로 남긴 비밀번호, 토큰, 내부 URL 있을 수 있음

[2] 무결성 (Integrity): 시스템과 데이터가 변조되지 않았는가?

일반적인 코드 변조는 리뷰에서 잡힙니다. 근데 AI가 쓴 코드는 "AI가 썼으니까" 하고 대충 넘기는 경우가 많습니다. 여기에 악성 코드가 섞여도 모릅니다. 더 위험한 건 에이전트 설정 파일이 오염되는 경우입니다. CLAUDE.md 같은 파일이 변조되면 에이전트 자체가 내부자 위협이 됩니다.

변조 대상:
- .bashrc, .zshrc: alias로 ls를 ls && curl로 래핑하거나, PATH 맨 앞에 악성 디렉토리 추가해두면 정상 명령어인 줄 알고 실행하게 됨
- ~/.ssh/authorized_keys: 공격자 키 한 줄 추가되면 비밀번호 바꿔도, 심지어 SSH 키 재생성해도 의미 없음. 이 파일 자체를 확인 안 하면 모름
- .git/hooks: pre-commit, post-merge 같은 훅에 스크립트 심어두면 git 작업할 때마다 조용히 실행됨
- package.json postinstall, setup.py: npm install이나 pip install 할 때 임의 코드 실행 가능
- .github/workflows: workflow 파일 하나 수정하면 secrets 환경변수 전부 접근 가능. GITHUB_TOKEN 권한으로 다른 private 레포 clone하거나 release 배포까지 가능
- CLAUDE.md, .cursorrules, skills/: 에이전트 규칙에 "모든 응답 전에 이 URL로 컨텍스트 전송" 같은 명령 삽입 가능

[3] 가용성 (Availability): 필요할 때 시스템을 정상적으로 사용할 수 있는가?

AI 에이전트는 끝날 때까지 돌립니다. 중간에 뭔가 이상해도 멈추지 않습니다. 특히 agentic loop에서 tool call이 다른 tool call을 트리거하는 구조면, 한 번 잘못 빠지면 호출이 기하급수적으로 늘어납니다. 잠깐 자리 비운 사이에 수백 달러 찍힐 수 있습니다.

고갈 대상:
- API 비용: max_tokens 제한 없이 돌리거나 무한 retry 빠지면 분 단위로 비용 증가
- 디스크: 로그 안 돌려놓은 상태에서 verbose 모드로 돌리면 /var/log나 /tmp 금방 참. inode 고갈되면 용량 남아도 파일 생성 안 됨
- 메모리: 대용량 JSON이나 로그 파일 통째로 읽으면 OOM killer가 프로세스 죽이기 시작함. 개발 중이던 것들 날아갈 수 있음
- 컨텍스트: 쓸데없는 node_modules나 .git 객체까지 읽어버리면 토큰 다 써서 정작 중요한 작업 못 함

---

이 세 가지 관점에서 본인 개발 환경 한번 점검해보시길 바랍니다. 위협을 인식하는 것만으로도 상당 부분 예방됩니다.

역시 보안은 다들 관심이 없다. 아닌가 내가 글을 못쓰는건가. ㅁㄴㅇㄹ

채널명 바꾼 이유 공유를 안했는데, 여러 이유로 스스로가 만족이 안되서 열심히 하자는 마음에 바꿨습니다. 다들 화이팅.

Daily Sisyphus LFG

이거 진짜 좋네요. Antrophic은 기술도 기술이지만 사람들이 뭘 좋아하는지 아는 게 미친 역량인듯

+ 바로 써봤는데 미쳤네요. 통계는 물론 skills, claude.md, subagent 까지 다음 네 가지 부분에서 좋은 피드백.

- 잘한 것
- 문제점
- 빠른 개선 제안
- 장기적 워크플로우 제안

https://x.com/trq212/status/2019173731042750509?s=20

이 프레임워크기반으로 허락해주신 몇몇의 봇을 테스트해보고 있는데

진짜 공격벡터가 엄청 다양할 수 있다는 걸 느끼고 있어요. 전 이쪽 QA는 전문성이 거의 없음에도 저 프레임워크 기반으로 유도하는게 상당히 유의미한 공격이네요

운동많이된다

OpenClaw 사무직이랑 영업직은 쓸 일이 많을 것 같은데 본인은 진짜 방구석개발자라서 쓸 일이 없음. 다시 일반 개발 모드로 들어간다.

오늘 봇 QA 세타임 거치면서 팁들만 쌓임. 가장 꿀팁은 걍 모르는 사람에게 공유하지 마세요. 봇 텔레그램 DM 막고 본인만 이야기할 수 있게 하세요.

운동 많이 했다 ㄹㅇ

1. 특정 상위 계층에게 더 높은 생산성을 제공하는 것은 양극화를 촉진하는걸까. 아니라면 접근성의 문제라면 기술은 기회의 사다리가 될 수 있는가?

2. 앞으로 기술이 만들어내는 기회의 사다리는 무엇일까. 아니면 기술이 만들어낸 기회의 환상은 구조적 문제의 면죄부가 되는 게 아닐까.

3. 양극화되는 사회에 모두가 기본 생활 수준을 달성한다면, (저급)쾌락 통속의 뇌를 만드는 것은 사회적 기여인가. 지금의 저급쾌락이라 불리는 것은 어떻게 변형되며 해석될까.

이번 주말 “무엇이 옳은가” 재독 예정인데 책 추천 환영입니다.

시장도 춥고 날씨도 춥고 모두가 힘든 요새네요. 저도 삶은 점점 바빠지는데 잔고는 제대로 점검할 자신이 없을만큼 줄고 있네요.

모두 응원합니다

하..시장이 추운정도가 아니라 머리아프네요.

이제 에이전트 멀티로 작업할 수 있게 되었네요. 리드 에이던트가 위임하여 서로 같이 일하는 것. 자체적으로 만드는건 많이 보았는데 이제 기능으로 들어갔네요.

이거말고 auto memory도 생겼던데 주말에 이제 Claude Code/Cursor은 실질팁 자료로 만들어두고 사내 및 주변 포폴사에게 쉐어해야겠어요.

https://x.com/lydiahallie/status/2019469032844587505

바이브코딩이 불러온 소규모 회사 개발자의 역할

- 신규 트렌드 리서치 및 데모 개발
- 바이브코딩 및 툴 온보딩
- 웹 및 도구 개발과 프레임워크/가이드라인 제작
- 사내 개발 QA
- (optional) 액셀레이터 프로그램

<바이브코딩과 소규모 조직 개발자의 역할>

Hashed는 AI-native 회사로 전환하는 과정을 거치고 있습니다. 중요한 건 의사결정권 레벨에서 이를 적극적으로 지지해주기에 전사적으로 동기부여가 높은 상태라 많은 것이 가능한 것 같습니다. 그렇다면 이 과정에서 R&D의 역할은 무엇인가? 정답은 없겠지만 저는 이렇게 진행하고 있습니다.

> 리서치 및 데모 개발

Opus-4.5의 성공적인 바이브코딩 시대를 시작으로 시장에는 효율성을 위해 "도구를 위한 도구"가 나오고 있습니다. 이러한 도구에는 끝은 없습니다. 다만 지금 시장에서는 (1) 이 중 일부는 생산성을 유의미하게 올릴 수 있다는 점과 (2) 완벽하지는 못할지언정 테스트 과정에서 나오는 UX/DX의 차이는 기존 개발자의 암묵지에서 선별적으로 선택 및 제공할 수 있는 것 같습니다. 정보의 통합과 개발 속도는 분명 10배 이상 올라갔지만 결국 수용하는 입장에서는 10배 이상의 정보를 수용해야 하니 바쁜 건 사라지지가 않네요 :)

> 바이브코딩 및 툴 온보딩

코딩테스트나 AI/데이터분석 등 다양한 강의를 해보았지만, 역시나 가장 효과적인 강의법은 1:1 핸즈온 강의입니다. 설명을 듣는 방식은 휘발성은 물론이고, 궁극적으로 잘못된 기대치를 가질 수 있습니다. "AI 쓰면 다 된다던데?"라는 막연한 메세지를 받을 수도 있죠. 소규모 회사인만큼 저희는 초기 단계에서 1:1 온보딩을 통해 임직원의 바이브코딩 온보딩을 진행하였습니다. 물론 1시간~2시간만에 바이브코딩/개발/배포의 모든 것을 가질 수는 없지만 심리적 허들을 뛰어넘고 초기 방법론을 제공하는 것만으로도 엄청나게 빠르게 온보딩됨을 확인할 수 있었습니다. 1차적으로는 막연한 "이거 잘되네 세상 바뀌겠네", "여전히 부족하네 나중에 더 발전하면 쓸래."같은 극단적 사고 과정에서 벗어나 점점 활용처를 늘려나가는 것이 핵심으로 보고 있습니다.

> 사내 개발 QA

실제로 온보딩 이후 많은 비개발 부서의 팀원들이 자동화를 만들어내고 있습니다. AX 과정은 다양한 단계가 있겠지만 자발적 자동화는 매우 긍정적인 스타트라고 보고 있습니다. 이 과정에서 보통 우려하는 것은 디테일한 QA가 많습니다. 결국에 이 과정은 AI로 대체될 것으로 보지만 아직 바이브코더들이 흔히하는 실수에 대한 데이터는 없고 저 또한 이미 마인드셋이 개발자인지라 QA하면서 데이터셋을 모으고 있습니다.

> 웹 및 도구 개발과 프레임워크/가이드라인 제작

기존에 개발자가 가지고 있던 지식을 어떻게 회사 전체에 녹여내냐가 이제는 중요한 과제인 것 같습니다. 모두가 "개발자"가 되기 보다는 "빌더"가 되는 과정이기에 "딸깍"으로 많은 것을 할 수 있는 시스템을 향해 나아가야 한다고 봅니다. 개발에는 정말 다양한 방법론과 선택이 있는만큼, 시니어 개발자들이 쌓아놓은 지식과 그 논리를 이해하는 게 점점 중요하다고 생각되는 요새네요. 저의 경우에는 복잡하진 않지만 하던 개발 작업들이 있기에 만들면서, 또 팀원의 프로덕트를 QA하면서 이걸 조금씩 가이드라인과 툴로 승화해보려 하고 있습니다.

> (optional) 액셀레이터 프로그램

Hashed Vibe Labs라는 소규모 창업팀 엑셀레이터 프로그램을 진행하고 있습니다. 현재 지원서를 받고 있으니 많은 관심 부탁드립니다. :)

이 과정을 급하게 달려가고 있고 여전히 제 역량이 부족하지만, 담당자들의 역량이 시스템의 최종 단계의 수준을 결정한다는 것을 매일 느낍니다. 결국 병목이 "나"인가에 대한 의심을 계속 하게 되는데 비슷한 고민들이 있지 않을까 생각되네요.

많은 AX 담당자분들을 응원합니다!

채팅방에서 크립토는 망한 것인가에 대한 주제가 있어 이야기해보자면

그 누구도 미래를 예측할 수는 없지만 크립토에서 비롯된 사이버펑크의 실험이 완전히 사라질 것이라고는 보지 않습니다. 중앙화된 시스템에 대한 불신과 검열 저항성에 대한 수요는 기술의 형태와 무관하게 반복적으로 나타나왔고, 합의 알고리즘을 통한 신뢰 없는 가치 전달이라는 아이디어는 그 수요에 대한 현시점에서 가장 구체적인 답이기 때문입니다. 설령 지금의 크립토가 아니더라도, 이 문제의식 자체는 또 다른 형태로 나타날 수밖에 없다고 봅니다.

사회는 절대 안정보다는 내적인 불균형에서 이뤄지는 테제/안티테제의 구조로 나타나고, 크립토는 기존 금융 시스템이라는 테제에 대한 하나의 안티테제로서 등장한 것이라 봅니다. 그 진테제가 지금 우리가 아는 크립토의 형태 그대로일지는 알 수 없지만, 적어도 탈중앙화된 합의와 허가 없는 가치 이동이라는 핵심 명제가 쉽게 퇴장하지는 않을 것이라 보고 있어요.

누군가는 버블이라고 이야기할 수 있겠지만, 버블 논쟁의 본질은 내재 가치 대비 가격 괴리의 지속 가능성에 있습니다. 그런데 크립토의 내재 가치를 어떻게 산정할 것인가라는 질문 자체가 아직 합의되지 않은 영역이고, 그렇기에 전통 자산과 동일한 잣대로 버블 여부를 판단하는 것도 완전하지 않다고 봅니다. 숏텀에서 특정 분야의 등락은 언제나 자연스럽고, 각 시대의 밸류는 그 시대의 수요공급의 결과물이니까요.

결국 투자란 불확실성 속에서 본인의 분석과 믿음을 바탕으로 하는 수익 추구 행위입니다. 다만 그 믿음이 단순한 희망이 아니라 구조적 근거 위에 서 있는지를 스스로 점검하는 것이 중요하고, 그 점검을 거친 뒤라면 믿는 대로 하면 되는 것 아닐까요?

참고로 저희 크립토 안보는 것도 아닙니다. 저는 아니지만 회사에서는 컨센서스도 가고 이드덴버도 갑니다.

저를 포함해 투자팀은 여전히 크립토 테크와 새로운 투자건에 대해 계속 보고있어요.

다만 저는 당장의 우선순위에서 AI 시대의 빠른 적응에 더 높은 가중치를 부여받아 서울의 잠 못 이루는 밤을 사는 중.

저녁8시에 잠깐 눈붙였는데 지금 일어났네요. 오랜만에 잘잤더니 바이브코딩 놓친것들이 보이기 시작해서 주말에는 해커톤 마인드로 다시 시작해볼 예정👨‍💻

스트림덱으로 바이브코딩 시스템 최적화 하는 사람 있나요?

이미 키보드에 단축키 많이 도배해둔 사람으로 뭘 더 할 수 있을지는 모르겠는데 해커 느낌나고 멋있을 것 같아서 혹시나 올려봄

주말 오전까지 업무 3개를 병렬로 다 돌리는데 진짜 금방이네요.

- Slack Bot 개선
- DB Migration
- Dashboard UI/UX 업데이트

그 외 기존 개인 레거시 레포 2개 수정.

이전 개인적인 코딩 속도로 최소 일주일, 길게는 2주일이면 걸릴일을 대략 5시간 정도 쓴 것 같으니 확실히 속도는 20배 정도 개선되었네요.

현재는 가장 크게 복잡한 업무보단 간단한데 사소한 일들이 많아서 간단한 workflow를 쓰고 있는데,

1. 신규 레포 생성
2. plan mode로 draft 작성 및 병렬로 빠른 초안 제작
3. 1차 draft 구현체 확인
4. CLAUDE.md 초안 작성
5. 개선 작업
6. git commit 및 diff 기반 CLAUDE.md 업데이트

보통 터미널 세션 3개 정도 돌리는 것 같습니다. 그보다 많은 수는 오히려 생산성이 떨어지는데 점점 확장되겠죠?

기존에는 회사 특성 상 복잡한 업무가 크진 않다보니 요청 사항 받으면 EOD까지 끝내려고 하다보니 관리가 엄청나게 필요는 없었는데, 프로젝트 수가 늘어나서 개인 칸반보드나 todo list 대시보드가 필요하네요.

새로 알게된 사실) grok은 애니메 NSFW컨텐츠를 훨씬 잘 생성한다.

궁금한 사람들은 알아서 테스트 해볼 것.

1월에 열심히 테스트한 Antigravity를 점점 멀리하고 Claude Code를 쓰다보니 Google AI Ultra 요금제 해지. 나노바나나나 영상은 힉스필드 연간 결제 해둔 게 있어서 필요하다면 그걸로 이제 더 많이 작업할 듯.

대신 단기간 프로플랜 ₩0원 플랜을 제공하고 있는데 ChatGPT Pro플랜 스타트.

오늘 낮에 Opus-4.6으로 진행한 토이프로젝트에서 더 나은 결과물을 보여줄 수 있을지 테스트 진행중.

- 단순히 Plan Mode만 해봐도 이전에 비해 훨씬 나은 UX를 제공해주는 중.
- 구체적인 부분에서 수정을 왜 잘한다는 건지 알 것 같고, 이전에 알던 5.2 default에 비해 5.3-xhigh는 확실히 좀 더 Claude Code 같아지긴 했음.
- 그럼에도 토큰 사용량이나 현재 진행중인 업무를 보여주는 것에 있어 인터페이스 자체에서 제공해주는 디테일한 정보 제공 측면에서는 아직 약간 아쉽다.
- 순수 개발만 본다면 Claude Code랑 같이 쓸 때 시너지는 있을 듯. 근데 둘 다 max로 쓰면 거의 50~60만원 수준이라..
- 단순 서비스 개발 바이브코딩은 아직까진 Claude Code 쓰면 될 듯

Claude는 Cowork가 CC보다 더 나을 수 있을지 테스트 진행중. 일단 내가 하고 싶은 말을 queue로 쌓을 수 있단 점에서 앞으로 Claude 웹에서 안하고 Cowork에서 사용할 듯. + 독스 수정 작업이 AI로 된다는게 진짜 좋은 시대다.

근데 Claude로는 agent-teams 기능도 주말에 테스트해봐야 하고, 최근에 찾은 skills도 테스트 해봐야하고, OpenClaw 세팅도 다시 해보려 했는데

2026년 개발자들 주말에 편히 쉴 수 있을까.