Agent Safehouse를 활용하여 Mac mini에서 Hermes Agent를 안전하게 구동하기
요약
Docker의 격리된 환경 대신 Agent Safehouse를 활용하여 Mac mini에 Hermes Agent를 직접 설치하고 안전하게 구동하는 방법을 다룹니다. Agent Safehouse를 통해 AI 에이전트에게 시스템 접근 권한을 부여하면서도, 민감한 개인 데이터나 기밀 파일에 대한 접근은 제한하는 샌드박싱 전략을 제시합니다.
핵심 포인트
- Docker 환경의 과도한 격리는 AI 에이전트의 도구 사용 및 환경 적응에 제약을 줄 수 있음
- Agent Safehouse는 macOS 네이티브 샌드박싱을 통해 에이전트의 자유도와 보안 사이의 균형을 제공함
- Hermes Agent 구동 시 게이트웨이 실행 단계에서도 Safehouse의 제한 설정을 적용해야 함
- 사용자 데이터(Desktop, Downloads 등)와 에이전트 설정 디렉토리(~/.hermes) 간의 권한 분리가 핵심임
조금 전, OpenClaw를 집의 Mac mini에 Docker 환경을 만들어 그곳에서 구동하고 있었지만, 영 만족스럽지 않았습니다.
「내 Mac에서 24/365로 작동하는 퍼스널 AI 어시스턴트」 같은 것을 하고 싶은데, Docker 환경에 너무 격리되어 있어서 OpenClaw가 전혀 자유롭게 움직이지 못합니다. 물론 AI 에이전트가 내 Mac의 파일을 자유롭게 읽고 쓰거나, 도구(Tool)를 마음껏 사용하게 되면 그것대로 꺼려지기 때문에 균형을 맞추기가 어렵습니다.
결국 결과가 미묘해서 사용을 그만두었습니다.
그 후, 약 한 달 전쯤 Hermes Agent 정보를 접했을 때, 「OpenClaw 같은 것을 다시 도전해 볼까」라는 생각에 Hermes Agent에 입문해 보기로 했습니다. 이번에는 Docker에 격리하지 않고 Mac mini에 직접 설치해 보기로 했습니다. 하지만 물론 기밀 파일 등에 액세스당하고 싶지 않으므로, Agent Safehouse의 제한 하에서 구동하기로 했습니다.
Agent Safehouse
Agent Safehouse는 요컨대 macOS-native sandboxing for local agents (공식 설명대로)이며, AI 에이전트에 일정 제한을 걸면서도 그 아래에서 풀 퍼미션(Full Permission)으로 구동하면 딱 좋다는 방식입니다.
Claude Code나 Codex 등도 Agent Safehouse의 제한 하에서 구동하고 있으며, 예를 들어 다음과 같이 claude --permission-mode bypassPermissions와 같이 실행합니다.
하지만 .env 파일의 내용을 읽거나 rm -rf ~ 등을 실행할 수는 없도록 되어 있습니다.
Hermes Agent with Agent Safehouse
CUI/TUI로 기동할 때
이것은 대체로 Claude Code 등과 같습니다. Safehouse 설정을 읽고 hermes를 실행합니다.
게이트웨이(Gateway)를 기동할 때
이 부분은 조금 복잡한데, OpenClaw나 Hermes는 게이트웨이가 상시 기동하며 그것이 Slack이나 Discord로부터 메시지를 받아 처리합니다. 그 게이트웨이를 기동할 때 Safehouse의 제한을 걸어야 합니다.
따라서 기본 명령인 hermes gateway start 등은 사용하지 않고, hermes-gateway start라는 명령으로 게이트웨이를 기동할 수 있도록 설정해 두었습니다.
또한, 이 내용을 Hermes에게 알려주지 않으면 스스로 평범하게 hermes gateway restart 등을 실행해 버리므로 주의해야 합니다.
Hermes Agent에게 무엇을 허용하고 무엇을 허용하지 않을 것인가의 문제
Mac mini 상에서 Hermes Agent가 적절하게 잘 작동하게 되었지만, 그렇다면 무엇을 허용하고 무엇을 허용하지 않을 것인가의 문제입니다.
여러 가지 시도 끝에 현재의 형태로 정착했습니다.
- 우선
~/.hermes이하는 읽기/쓰기 허용 - Desktop이나 Downloads 등 나의 개인 데이터가 들어 있는 장소는 읽기/쓰기 불가 - 기타 기밀 파일 계열도 읽기/쓰기 불가
이런 느낌입니다. 개인 데이터는 어쩌면 장래에 권한을 완화할지도 모릅니다. 백그라운드에서 내가 자는 동안 파일 정리를 해준다거나 하는 것도 괜찮을 것 같다고 생각하기 때문입니다. 하지만 아직 Hermes를 그 정도로 능숙하게 다루지 못하고 있으므로 지금은 하지 않습니다.
Mac에 직접 설치할 때의 장점
Hermes나 OpenClaw는 기본적으로 Mac에 직접 설치하는 것을 상정하고 있습니다. 그것을 Docker로 격리하게 되면, 에이전트가 상정하고 있는 기본 환경과 실제 환경이 달라져서 도구 실행에 실패하게 되고, 이를 교정하기 위한 메모리나 스킬을 추가하게 됩니다.
그런 불필요한 느낌이 사라지고 깔끔해지는 것이 우선 좋은 점입니다.
(※ Safehouse 제한 하에 있으므로 엄밀한 의미에서의 기본 환경은 아니지만)
그 외에는 인간(나)과 동일한 파일을 자연스럽게 읽고 쓸 수 있고, 동일한 도구를 사용할 수 있다는 점입니다. Mac에 설치된 도구를 Hermes도 실행할 수 있는 경우가 대부분이므로, Hermes용으로 별도로 도입해 주는 일이 없어지는 것도 장점입니다. Docker로 구동했을 때는 그 부분이 은근히 힘들었습니다.
Hermes Agent, 꽤 괜찮다
「그냥 Claude Code를 쓰면 되잖아」, 「Codex를 쓰면 되잖아」라는 말에 대해서는 「그건 그렇다」라고 인정하면서도, Hermes의 장점이라고 생각하는 부분은 다음과 같습니다.
- 태스크 (Task)를 상당히 자율적으로 수행할 수 있도록 하네스 (Harness)가 구성되어 있음
- 스킬 (Skill) 및 메모리 (Memory)를 자기 개선 (Self-improvement)하는 메커니즘이 비교적 잘 갖춰져 있음
- OpenClaw보다는 자유도가 낮고, Claude Code/Codex보다는 자유도가 높은, 딱 두 가지의 중간 정도 위치
이런 느낌이라 꽤 마음에 들어 하고 있습니다.
최근에는 개인적으로 Claude Code/Codex로 진행하고 있는 개발을 전부 Hermes로 옮길 수 없을까 고민하고 있지만, 아직 그 단계까지는 도달하지 못한 상태입니다.
앞으로 조금씩 시도해 보고 싶습니다.
AI 자동 생성 콘텐츠
본 콘텐츠는 Zenn AI의 원문을 AI가 자동으로 요약·번역·분석한 것입니다. 원 저작권은 원저작자에게 있으며, 정확한 내용은 반드시 원문을 확인해 주세요.
원문 바로가기