2026년 3월 26일, OpenClaw가 GitHub 25만 스타를 달성했다. AI 에이전트 카테고리에서 역대 최고 기록이다. 트위터에서 축하 메시지가 쏟아졌고, 기술 미디어가 "AI 에이전트의 승리"로 보도했다. OpenClaw 팀은 커뮤니티 기여에 대한 감사를 표하며 다음 이정표를 향한 로드맵을 발표했다.
25만 스타는 인상적인 숫자다. 하지만 한 발 물러서서 질문해볼 필요가 있다: GitHub 스타가 실제로 무엇을 측정하는가? 그리고 그것이 사용자에게 실제로 중요한 것과 얼마나 일치하는가?
GitHub 스타가 측정하는 것
GitHub 스타는 본질적으로 "북마크"다. 사용자가 프로젝트를 발견하고 관심을 표시하는 행위다. 스타를 누르는 데 필요한 것은 GitHub 계정과 클릭 한 번뿐이다. 프로젝트를 설치하거나, 사용하거나, 코드를 읽을 필요가 없다.
이 때문에 GitHub 스타는 인기(popularity)를 측정하지, 품질(quality)이나 안정성(stability)이나 보안(security)을 측정하지 않는다. 바이럴 트윗 하나, Hacker News 1페이지 노출 하나로 수천 개의 스타가 하루 만에 추가될 수 있다. 그 스타 중 프로젝트를 실제로 프로덕션에 배포한 사용자는 극소수다.
OpenClaw의 25만 스타를 맥락에 넣어보자. 같은 기간 OpenClaw의 npm 주간 다운로드는 약 15만이다. 스타 대비 다운로드 비율이 0.6이라는 것은, 스타를 누른 사람 중 실제로 설치한 사람이 소수임을 시사한다. 물론 다운로드가 곧 프로덕션 사용을 의미하는 것도 아니다 — 설치하고, 시도하고, 삭제하는 사용자도 많다.
스타와 보안의 괴리
더 중요한 괴리는 스타 수와 보안 상태 사이에 있다.
OpenClaw의 25만 스타 달성은 3월 26일이다. 같은 달, OpenClaw에서 9개의 CVE가 4일 만에 공개되었다(3월 19-22일). 4만 개의 인스턴스가 인터넷에 노출된 것이 발견된 것은 2월이다. GitGuardian이 200건 이상의 유출된 시크릿을 보고한 것도 올해 초다.
25만 스타는 이 보안 문제들을 반영하지 않는다. 스타를 누른 사용자 대부분은 이 CVE들을 알지 못하고, 알더라도 스타를 취소하는 일은 드물다. GitHub 스타 시스템에는 "이 프로젝트가 보안 문제가 있다"는 신호를 전달하는 메커니즘이 없다.
이것이 스타 기반 의사결정의 위험이다. 프로젝트를 선택할 때 "스타가 많으니까 안전하겠지"라고 가정하는 것은 "식당이 붐비니까 위생적이겠지"라고 가정하는 것과 같다. 인기는 품질의 프록시일 수 있지만, 보증이 아니다.
프로덕션 준비도의 실제 지표
프로젝트가 프로덕션 환경에서 신뢰할 수 있는지를 판단하려면, 스타 수가 아닌 다른 지표를 봐야 한다.
보안 이력. 프로젝트에서 발견된 CVE의 수와 심각도, 패치 소요 시간, 보안 감사 여부. OpenClaw는 올해만 10건 이상의 심각한 취약점이 공개되었다.
아키텍처적 보안. 프로젝트의 보안이 코드 수준의 검사에 의존하는가, 아니면 아키텍처에 내재되어 있는가. 컨테이너 격리, 최소 권한, 시크릿 분리 같은 설계 원칙이 적용되어 있는가.
유지보수 지속성. 핵심 유지보수자의 수, 거버넌스 구조, 자금 조달 모델. OpenClaw의 창시자가 경쟁사로 이직한 것은 유지보수 지속성에 대한 경고 신호다.
코드베이스 복잡도. 코드가 클수록 버그가 많고, 감사가 어렵고, 유지보수 부담이 크다. 500줄의 코드베이스는 50,000줄의 코드베이스보다 감사하기 100배 쉽다.
NanoClaw의 포지셔닝
NanoClaw의 GitHub 스타는 OpenClaw의 1/10도 안 된다. 인기 경쟁에서 NanoClaw는 압도적으로 뒤진다.
하지만 NanoClaw가 경쟁하려는 것은 인기가 아니다. 안전하고 신뢰할 수 있는 개인 AI 어시스턴트를 제공하는 것이다. 이 목표에 대해 NanoClaw의 지표는 다르다.
보안 이력: NanoClaw에서 공개된 CVE는 0건이다. 이것은 NanoClaw에 버그가 없어서가 아니라, 원격 공격자가 접근할 수 있는 공격 표면이 없기 때문이다.
아키텍처적 보안: 컨테이너 격리, stdin 시크릿 전달, 마운트 허용 목록, 그룹별 격리 — 보안이 아키텍처에 내재되어 있다.
코드베이스 복잡도: 약 500줄. 한 사람이 한 시간 안에 전체를 읽고 이해할 수 있다.
숫자 너머의 가치
25만 스타는 OpenClaw 커뮨니티의 열정과 관심을 반영한다. 이것은 진정한 가치다. 하지만 스타가 많다고 해서 프로덕션 환경에서 안전하다는 보장은 없다. left-pad 패키지는 npm에서 주간 수백만 다운로드를 기록했지만, 삭제 한 번으로 인터넷의 상당 부분을 마비시켰다. Log4j는 Java 생태계에서 가장 널리 사용되는 라이브러리 중 하나였지만, Log4Shell은 역사상 가장 심각한 보안 취약점 중 하나가 되었다.
인기는 신뢰의 근거가 아니다. 아키텍처가 신뢰의 근거다. 코드를 읽고, 설계 결정을 이해하고, 보안 모델을 검증하는 것 — 이것이 프로덕션 배포 결정의 기반이 되어야 한다. 스타를 세는 것이 아니라.
NanoClaw는 25만 스타가 없다. 하지만 25만 스타에 수반되는 보안 사고, 거버넌스 혼란, 유지보수 위기도 없다. 때로는 조용한 프로젝트가 시끄러운 프로젝트보다 더 안전하다.