AI 에이전트를 샌드박싱하는 대신, 에이전트가 실행하는 코드만 샌드박싱하세요

사전 공개: 저는 이것을 만드는 사람들 중 한 명이며, 이것은 오픈 소스(open source)입니다. 제가 이 글을 올리는 이유는 추천(upvote)을 받기 위해서가 아니라, 설계를 철저히 비판받고 싶기 때문입니다.

에이전트 샌드박싱(agent sandboxing)에 대해 저희를 괴롭혔던 점은 대부분의 접근 방식이 에이전트 자체를 상자(box) 안에 넣는다는 것이었습니다. Claude Code나 Cursor를 Docker 컨테이너나 VM 내부에서 실행하면, 즉시 호스트 인증(host auth)을 잃게 되고, API 키는 환경 변수(env vars)로 전달되며, 업데이트를 하려면 이미지를 다시 빌드해야 합니다. 또한 일반적인 컨테이너를 사용하더라도 결국 공유된 호스트 커널(host kernel)을 사용하게 됩니다.

하지만 당신은 에이전트를 신뢰합니다. 당신이 직접 설치했고, 당신의 권한으로 인증하며, 에이전트 자체가 위협은 아닙니다. 진짜 위협은 에이전트가 실행하는 코드, 즉 버그가 있거나 프롬프트 인젝션(prompt-injected)을 당했거나 적대적일 수 있는 모델이 작성한 셸(shell)과 스크립트(scripts)입니다.

temenos는 여기서 분리합니다. 에이전트는 인증, 업데이트, 모델 API 및 MCP를 모두 유지한 채 호스트에 머뭅니다. 오직 에이전트가 실행하는 것만이 루트리스 gVisor 샌드박스(rootless gVisor sandbox, seccomp 허용 목록이 아닌 유저스페이스 커널)로 들어갑니다. 이때 호스트 파일 시스템은 마운트(mount)한 것 외에는 보이지 않으며, 네트워크를 차단하는 옵션도 제공됩니다.

제가 실제로 피드백을 받고 싶은 부분은 다음과 같습니다: 이 분리는 프롬프팅(prompting)에 의한 것이 아니라 구조적으로 강제됩니다. Claude를 실행할 때 Bash/Read/Write/Edit/WebFetch 및 호스트에 영향을 주는 모든 다른 네이티브 도구를 금지하므로, 남은 유일한 실행 경로는 상자(box) 내부로 라우팅됩니다.

Repo: https://github.com/vitalops/temenos
submitted by /u/metalvendetta to r/LocalLLaMA
[link] [comments]