양용사OpenClawArkClawAutoClaw중국 AIClawHavoc

양용사 전국시대: 7일간 7개 제품, 중국 AI 에이전트 대전의 현장

2026년 3월 9일부터 18일까지, 바이트댄스·지푸·바이두·텐센트·미니맥스가 일주일 간격으로 AI 에이전트 제품을 쏟아냈다. 정부 보조금과 보안 경고가 동시에 나오는 현장, 그리고 ClawHub에서 발견된 1,184개 악성 스킬의 전말.

코어닷투데이2026-03-1821분

들어가며: 일주일에 일곱 개

2026년 3월 9일, 바이트댄스가 ArkClaw를 출시했다. 같은 날 텐센트가 QClaw 내부 테스트를 시작했다. 다음 날 지푸(Zhipu)가 AutoClaw를, 일주일 뒤 GLM-5-Turbo를 발표했다. 3월 17일 바이두가 DuMate·RedClaw·DuClaw 3종 세트를 내놓았다.

7일간 7개 제품. 중국 AI 업계 전체가 동시에 같은 방향으로 달리고 있었다. 모든 제품의 공통점은 하나였다 — OpenClaw 생태계를 자사 서비스로 흡수하겠다.

이 글은 그 전쟁의 현장 기록이다.

양용사 전국시대 타임라인 (2026.03)

3/9 바이트댄스 ArkClaw 출시

3/9 텐센트 QClaw 내부 테스트

3/10 지푸 AI AutoClaw 원클릭 설치

3/15 문샷 AI KimiClaw 업데이트

3/16 지푸 AI GLM-5-Turbo 발표

3/17 바이두 DuMate·RedClaw·DuClaw

3/18 미니맥스 주가 29% 급등

제1장: 각자의 전략

바이트댄스 — ArkClaw: "설정 제로, 클라우드에서 바로"

3월 9일, 바이트댄스의 클라우드 플랫폼 Volcano Engine을 통해 출시. 핵심 전략은 **"설정 제로"**다.

클라우드 SaaS: 로컬 설치 없이 웹 브라우저로 접속
사용자당 전용 ECS 인스턴스 할당 — 7x24 상시 운영
Doubao-Seed-2.0 모델 심층 통합
페이수(Lark) 연동: 회의록 자동 생성, 작업 추적, 문서 생성
ClawHub 커뮤니티 스킬 10,000개 이상 접근
가격: 라이트 플랜 첫 달 9.9위안(약 1,900원) + 7일 무료 체험

ArkClaw의 전략은 명확하다. OpenClaw의 최대 진입 장벽인 "설치와 설정"을 완전히 제거하고, 바이트댄스 업무 도구(페이수)에 깊이 통합시켜 **기업 사용자를 잠금(lock-in)**하겠다는 것.

지푸 AI — AutoClaw + GLM-5-Turbo: "중국 최초 원클릭 + 전용 모델"

3월 10일에 AutoClaw, 3월 16일에 GLM-5-Turbo를 연이어 발표했다. 이중 전략이다.

AutoClaw:

중국 최초 원클릭 로컬 설치 OpenClaw
50개 이상의 프리빌트 스킬 (콘텐츠 작성, 오피스, 코딩, 마케팅, 금융)
Pony-Alpha-2 모델 내장, DeepSeek도 지원
AutoGLM 기술: 브라우저 자동화 — 페이지 탐색, 폼 입력, 데이터 추출

GLM-5-Turbo:

범용 LLM을 에이전트에 적용한 것이 아니라, 처음부터 OpenClaw 시나리오를 위해 설계된 전용 모델
20만 토큰 컨텍스트, 12.8만 토큰 출력
자체 벤치마크 ZClawBench 공개 — 엔드투엔드 에이전트 태스크 평가
가격: 입력 $1.2/M 토큰, 출력$ 4/M 토큰

발표 직후 지푸 주가 16% 급등, 약 HK$615까지 상승했다.

바이두 — 3종 세트: "데스크톱·모바일·클라우드 동시 공략"

3월 17~18일, 바이두가 한꺼번에 세 가지를 내놓았다:

바이두 에이전트 3종 세트

DuMate 데스크톱 PC에서 실행하는 AI 비서

RedClaw 모바일 스마트폰 에이전트 플랫폼

DuClaw 클라우드 설치 없이 접속, 제로 배포

여기에 샤오두(Xiaodu) 스마트 스피커와의 통합까지 발표했다. "커피 주문해"라고 말하면 에이전트가 여러 앱을 넘나들며 주문을 완료하는 시나리오다.

바이두의 위기감이 읽힌다. Doubao(도우바오), Yuanbao(위안바오), Qwen에 밀리면서, 에이전트를 통해 하드웨어·소프트웨어·서비스를 재연결하려는 전략이다.

텐센트 — QClaw: "14억 위챗 사용자가 무기"

3월 9일 내부 테스트 시작. 가장 주목할 부분:

위챗 미니프로그램으로 진입 — 앱 설치 없이, 위챗 채팅창에서 자연어 명령을 보내면 컴퓨터를 원격 조작
WorkBuddy: 비기술 직원 2,000명 이상이 테스트 중인 업무용 AI 에이전트
4월 이르면 위챗 내 AI 에이전트 출시 예상 — 택시 호출, 식당 예약 등
텐센트 클라우드가 3월 16일 OpenClaw AI 커뮤니티 공식 스폰서가 됨

텐센트의 무기는 14억 위챗 사용자다. 위챗 안에서 에이전트가 작동하면, 별도 앱 없이 중국 인구의 대다수가 AI 에이전트를 쓰게 된다.

미니맥스 — 주가 29% 급등

젠슨 황의 "다음 ChatGPT" 발언 직후인 3월 18일, 미니맥스 주가가 29% 급등하며 사상 최고가를 기록했다. MiniMax Agent의 Lightning Mode(즉시 검색)와 Pro Mode(심층 연구, 풀스택 개발, PPT 생성)를 제공하며, M2.5 모델을 탑재했다.

제2장: 정부의 이중 전략 — 지원과 규제 동시에

중국 정부의 대응이 흥미롭다. 지원과 규제가 같은 주에 동시에 나온다.

지원

지역	내용	규모
선전 룽강구	OpenClaw 기반 "1인 기업" 지분 투자	최대 1,000만 위안(~20억 원)
허페이 하이테크구	동일	최대 1,000만 위안
우시 하이테크구	제조업 연계 OpenClaw 적용	최대 500만 위안(~10억 원)

일부 도시는 무상 아파트까지 제공하며 AI 에이전트 기반 1인 기업을 유치하고 있다. 유휴 데이터센터를 AI 에이전트 인큐베이터로 전환하는 사례도 보고된다.

국무원은 2025년 8월 "AI+" 이니셔티브를 통해 2027년까지 주요 산업의 70% 이상에 AI 에이전트 보급을 목표로 제시했다.

규제

같은 시기에 벌어진 일:

3월 10일: CNCERT/CC(국가인터넷비상대응센터)가 OpenClaw 보안 2차 경고 발령
3월 10일: 베이징, 정부 기관 및 국영기업 업무 기기에서 OpenClaw 사용 금지
텐센트 클라우드는 3월 13일부터 HunYuan 모델 토큰 가격을 인상 — 에이전트로 인한 소비 폭증 대응

"성장시키되, 통제하겠다" — 이것이 중국 정부의 기본 자세다.

제3장: 토큰 소비 폭발

양용사 열풍의 숨겨진 이면이 있다. 토큰 소비량의 폭발적 증가다.

중국 일일 AI 토큰 소비량

2025 중반

30조

2026.02

180조

8개월 만에 6배. 그리고 하이퍼스케일러들은 2026년 말까지 일일 400~500조 토큰을 예상한다.

이유는 간단하다. 챗봇 사용자가 한 번의 질문에 수백~~수천 토큰을 쓰는 반면, 에이전트는 하나의 작업을 완수하기 위해 **수십~~수백 번의 LLM 호출**을 반복한다. 에이전트 사용자 1명의 토큰 소비가 챗봇 사용자 수십~수백 명에 해당한다.

2026년 2월 셋째 주 기준, 글로벌 상위 10개 모델의 주간 토큰 소비 중 중국 모델이 61%(8.7조 중 5.3조)를 차지하며 미국 모델을 추월했다.

이것이 칩 산업까지 영향을 미치고 있다:

AI 서버 출하량 2026년 전년 대비 20%+ 성장 전망
DRAM 현물가 Q1 2026에 369% 급등
AI가 글로벌 DRAM 웨이퍼 용량의 **20%**를 소비할 전망

제4장: ClawHavoc — 스킬 마켓의 어두운 면

양용사 열풍의 그림자가 드리웠다. OpenClaw의 공식 스킬 마켓플레이스 ClawHub에서 대규모 악성 스킬이 발견된 것이다.

사건의 전말

1/27 — 최초 악성 스킬 등록

↓

1/31 — 악성 스킬 급증

↓

2/1 — "ClawHavoc" 캠페인으로 명명

↓

2/초 — 341개 악성 스킬 최초 보고

↓

이후 조사 — 총 1,184개 확인 (전체의 ~20%)

12개 퍼블리셔 계정이 관여했으며, 한 업로더가 단독으로 677개 패키지를 올렸다. ClawHub 전체 스킬의 약 20%가 악성이었다는 충격적 결과다.

공격 유형

공격	수법
단계적 다운로드	설치 시 추가 멀웨어를 은밀히 다운로드
리버스 셸	Python 시스템 호출로 원격 접근 확보
데이터 탈취	브라우저 자격증명, 키체인, SSH 키, 암호화폐 지갑 도난
API 키 탈취	"날씨 도우미"로 위장한 스킬이 `.env` 파일의 API 키를 전송
macOS 특화	Atomic macOS Stealer(AMOS) 변종으로 Telegram 데이터까지 탈취

대응

ClawHub는 사후 조치로 보안을 강화했다:

모든 퍼블리시 스킬의 SHA-256 해시를 VirusTotal에 대조
매치가 없으면 전체 ZIP을 Google Gemini 기반 Code Insight로 분석
ClawSecure가 2,890개 이상 스킬을 감사해 539개에서 ClawHavoc 지표 발견 (18.7%)

OWASP ASI Top 10 — 에이전트 보안의 새 표준

이 사태와 맞물려, **OWASP Top 10 for Agentic Applications(ASI)**이 업계의 새 기준으로 부상했다:

순위	카테고리	설명
ASI-01	과도한 자율성	에이전트에게 필요 이상의 권한·자율성 부여
ASI-02	도구 오용	에이전트가 도구를 의도와 다르게 사용
ASI-03	권한 상승	초기 권한을 넘어서는 접근 획득
ASI-04	공급망 침해	서드파티 스킬·도구를 통한 공격 (ClawHavoc!)
ASI-05	코드 실행 위험	안전하지 않은 코드 실행 환경
ASI-06	메모리·컨텍스트 조작	에이전트의 기억을 오염시켜 행동 변경
ASI-07	에이전트 간 통신 취약	A2A 통신에서의 인젝션
ASI-08	연쇄 실패	하나의 에이전트 오류가 전체로 전파
ASI-09	신뢰 악용	인간-에이전트 신뢰 관계를 이용한 사회공학
ASI-10	불충분한 로깅	감사 추적 부재로 사후 분석 불가

OWASP ASI가 도입한 핵심 원칙: "최소 자율성(least agency)" — 에이전트에게 안전하고 제한된 작업에 필요한 최소한의 자율성만 부여하라.

NIST AI Agent Standards Initiative

2026년 2월 17일, NIST도 움직였다. AI Agent Standards Initiative를 발표하며 세 가지 축을 제시:

산업 주도 표준 개발 — A2A, MCP, OWASP ASI를 통합 평가 체계로
커뮤니티 주도 오픈소스 프로토콜 유지보수
에이전트 보안·신원 연구

2027년까지 EU ENISA, 일본 AIST, ISO/IEC JTC 1/SC 42와 국제 상호 인정을 목표로 한다.

맺으며: 전국시대에서 통일로

일주일 만에 7개 제품이 쏟아진 "양용사 전국시대"가 보여주는 것:

1. 에이전트는 더 이상 선택이 아니다. 중국 빅테크 전체가 동시에 뛰어들었다는 것 자체가 "에이전트가 다음 플랫폼"이라는 컨센서스가 형성되었다는 증거다.

2. 차별화 전쟁이 시작됐다. 바이트댄스는 "설정 제로", 지푸는 "전용 모델", 바이두는 "하드웨어 통합", 텐센트는 "14억 위챗"으로 각자의 해자를 파고 있다.

3. 보안이 성패를 가른다. ClawHub의 20%가 악성이었다는 사실은 충격이다. 에이전트 생태계가 성숙하려면, 스킬 마켓의 안전성이 앱 스토어 수준으로 올라와야 한다.

중국 전국시대가 결국 진(秦)의 통일로 이어졌듯, 양용사 전국시대도 결국 표준과 플랫폼의 수렴으로 향할 것이다. 다만 그 과정에서 "어떤 표준이 살아남을 것인가"가 다음 챕터의 질문이다.