BoxAgnts Runtime (7) — 샌드박스 실행(Sandboxed Execution), 에이전트 인프라의 재구축
요약
AI 에이전트의 지능보다 실행 안전성이 중요해지는 흐름을 분석하며, BoxAgnts가 제공하는 샌드박스 실행 환경과 런타임 제약 조건의 필요성을 강조합니다. 에이전트를 단순 챗봇이 아닌 실행 시스템으로 정의하고 결함 격리와 권한 경계 설계를 제안합니다.
핵심 포인트
- 에이전트의 지능보다 실행 안전성(execution safety)이 핵심 과제임
- 모델의 추론 능력보다 런타임 수준의 강력한 제약 조건이 중요함
- 에이전트는 텍스트 생성을 넘어 행동을 수행하는 실행 시스템임
- 결함 격리 및 권한 경계 등 소프트웨어 엔지니어링 원칙 도입 필요
AI 산업은 빠르게 움직이고 있습니다. 매주 새로운 에이전트 프레임워크(agent framework), 코딩 어시스턴트(coding assistant), 자율 워크플로우 엔진(autonomous workflow engine), 또는 멀티 에이전트 플랫폼(multi-agent platform)이 등장합니다. 대부분의 논의는 모델의 역량—추론 성능(reasoning performance), 계획 능력(planning ability), 컨텍스트 윈도우 크기(context window size), 도구 선택 정확도(tool selection accuracy)—에 집중되어 있습니다.
하지만 더 근본적인 문제가 훨씬 적은 관심을 받고 있습니다:
대부분의 AI 에이전트는 신뢰할 수 있는 실행 환경(execution environment)이 부족합니다.
현재의 에이전트 시스템은 코드 실행, 리포지토리(repository) 수정, 웹사이트 브라우징, 데이터베이스 접근, 클라우드 인프라(cloud infrastructure) 운영 등 실제 세계와 상호작용하는 능력이 점점 더 강력해지고 있습니다. 에이전트가 운영 권한을 얻음에 따라, 모델의 지능이 아닌 실행 안전성(execution safety)이 결정적인 과제가 되고 있습니다.
업계는 실행이 아닌 지능을 최적화하고 있습니다
대부분의 AI 인프라 투자는 모델을 더 똑똑하게 만드는 데 투입됩니다—더 큰 모델, 더 나은 추론, 더 긴 컨텍스트, 더 정교한 계획 등이 그것입니다. 이러한 기술들은 "에이전트가 어떻게 더 나은 결정을 내릴 수 있는가?"라는 질문에 답합니다.
하지만 프로덕션 시스템(production systems)은 다른 질문에 답해야 합니다: "그 결정이 틀렸을 때 어떤 일이 발생하는가?"
전통적인 소프트웨어 엔지니어링(software engineering)은 실패가 발생할 것임을 오래전부터 가정해 왔으며, 이에 따라 결함 격리(fault isolation), 권한 경계(permission boundaries), 프로세스 격리(process containment), 리소스 거버넌스(resource governance), 그리고 복구 메커니즘(recovery mechanisms)을 설계해 왔습니다. 많은 AI 시스템은 여전히 이러한 속성이 부족하며, 모델이 올바르게 동작할 것이라는 취약한 가정에 의존하고 있습니다.
BoxAgnts는 이러한 가정을 단호히 거부합니다. boxagnts/query/src/query.rs에서 쿼리 루프(query loop)에는 여러 방어 계층이 구축되어 있습니다:
// 쿼리 루프 내 보호 메커니즘
const MAX_TOKENS_RECOVERY_LIMIT: u32 = 3; // 복구 시도 제한
const MAX_TOKENS_RECOVERY_MSG: &str = "..."; // 복구 메시지
...
이것들은 프롬프트 수준(prompt-level)의 "제안"이 아닙니다. 이것들은 런타임 수준(runtime-level)의 강력한 제약 조건(hard constraints)입니다.
AI 에이전트는 챗봇이 아니라 실행 시스템입니다
AI 에이전트를 고급 채팅 인터페이스로 보는 것은 시대에 뒤떨어지고 위험한 관점입니다. 현대의 에이전트는 파일을 생성하고, 명령을 실행하며, API를 호출하고, 데이터베이스를 업데이트하고, 인프라를 배포할 수 있습니다. 에이전트가 텍스트 대신 행동(actions)을 생성하기 시작하면, 실수로 인한 결과는 기하급수적으로 커집니다.
BoxAgnts의 핵심 실행 루프는 에이전트의 실행 시스템적 본질을 명확하게 보여줍니다:
User Request → LLM Planning → Tool Selection → Tool Execution → Environment Modification
여기서 중요한 단계는 계획(planning) 자체가 아니라 실행(execution)입니다. 그리고 실행의 모든 단계는 런타임 제약 조건(runtime constraints) 하에서 작동합니다.
현재 아키텍처가 취약한 이유
대부분의 에이전트 아키텍처는 다음으로 요약됩니다:
LLM → Tool Call → Python Runtime → Shell Command → Host System
이는 파이썬 문제가 아니라 신뢰 경계(trust boundary) 문제입니다. 모델은 무엇을 실행할지, 무엇에 접근할지, 언제 멈출지를 결정하지만, 모델 자체는 프롬프트 주입(prompt injection), 적대적 문서(adversarial documents), 그리고 신뢰할 수 없는 콘텐츠에 노출됩니다. 이것이 아키텍처적 역설을 만듭니다: '신뢰할 수 없는 플래너 → 신뢰받는 실행.'
BoxAgnts는 플래너와 실행기 사이에 런타임 경계(runtime boundaries)를 삽입하여 이를 해결합니다:
LLM (Planner)
↓
Query Loop (run_query_loop — 실행 거버넌스)
...
각 계층은 독립적인 거버넌스 지점입니다. 계층 간에는 암묵적인 신뢰가 존재하지 않습니다.
일급 런타임 원시 요소로서의 샌드박스(Sandbox)
BoxAgnts는 샌드박스 실행을 '선택적 기능'에서 '아키텍처 기반'으로 격상시킵니다. 모든 WASM 도구는 기본적으로 샌드박스 내부에서 실행됩니다. 이 샌드박스는 도구와 게이트웨이 아래에 위치한 가장 낮은 인프라 구성 요소(boxagnts/wasm-sandbox/)입니다.
이 디자인은 보안이 추가되는 부가 기능(bolt-on)이 아님을 보장합니다. 상위 계층이 아무리 바뀌어도 실행 제약 조건은 계속 유효하게 유지됩니다.
도구 런타임과 워크플로우 엔진은 다른 계층입니다
AI 생태계에서 흔한 혼란 중 하나는 워크플로우 엔진(workflow engines)과 런타임 엔진(runtime engines) 간의 관계입니다.
워크플로우 엔진 (Workflow engines; 체인, 그래프, 플래너)은 "무엇이 일어나야 하는가"를 결정합니다.
런타임 엔진 (Runtime engines)은 "무엇이 일어나는 것이 허용되는가"를 결정합니다.
BoxAgnts는 세 가지 명시적인 오케스트레이션 계층 (orchestration layers)을 가집니다:
- 쿼리 계층 (Query Layer) (
boxagnts/query/): 워크플로우 오케스트레이션(Workflow orchestration)—대화 루프, 자동 압축 (auto-compaction), 컨텍스트 관리 (context management)를 관리합니다. - 도구 계층 (Tool Layer) (
boxagnts/tools/+boxagnts/wasm-tools/): 도구 인터페이스(Tool interface)—권한 확인 (permission checks), 파라미터 검증 (parameter validation). - 샌드박스 계층 (Sandbox Layer) (
boxagnts/wasm-sandbox/): 실행 제약 (Execution constraints)—메모리 제한 (memory limits), 네트워크 허용 목록 (network allowlists), 타임아웃 제어 (timeout control).
워크플로우는 조정(coordinates)하고, 런타임은 통제(governs)합니다. 둘 다 필요합니다. 오직 런타임만이 보안 보장(security guarantees)을 제공합니다.
멀티 에이전트 시스템은 격리(Isolation)를 더욱 중요하게 만듭니다
BoxAgnts의 관리형 에이전트 (Managed Agent) 모드는 각각 독립적인 샌드박스에서 실행되는 병렬 실행기 (parallel Executors)를 지원합니다. 이는 전문화와 확장성 (scalability)을 향상시키지만, 동시에 위험도 증폭시킵니다.
적절한 격리 없이는 악의적인 출력이 전파되고, 컨텍스트 오염 (context contamination)이 확산되며, 권한 상승 (capability escalation)이 가능해지고, 디버깅이 거의 불가능해집니다. BoxAgnts의 대응책은 **프로세스 수준의 사고 (process-level thinking)**입니다. 각 실행기 (Executor)는 독립적인 기능 (capabilities), 격리된 리소스, 독립적인 컨텍스트, 그리고 선택적인 Git 워크트리 (Git worktree) 격리를 가집니다. 이는 현대 운영체제의 프로세스 격리 모델을 직접적으로 반영합니다.
리소스 거버넌스 (Resource Governance)
BoxAgnts는 WASM 런타임을 통해 모든 실행기 (Executors)에 걸쳐 시스템 수준의 리소스 제어를 강제합니다:
| 거버넌스 차원 (Governance Dimension) | 구현 (Implementation) |
|---|---|
| CPU 사용량 (CPU Usage) | wasm_fuel (명령어 수준 연료) + wasm_timeout |
| ... |
이러한 거버넌스가 없다면, 에이전트가 더 자율적으로 변할수록 그 파괴적인 잠재력도 커지게 됩니다.
AI 에이전트에는 런타임 엔지니어링이 필요합니다
AI 산업은 수년간 프롬프트 엔지니어링 (prompt engineering), 모델 엔지니어링 (model engineering), 그리고 워크플로우 엔지니어링 (workflow engineering)에 시간을 소비해 왔습니다. 이제 새로운 분야인 **런타임 엔지니어링 (runtime engineering)**이 등장하고 있습니다. 이는 실행 경계 (execution boundaries), 권한 시스템 (capability systems), 리소스 거버넌스 (resource governance), 결함 격리 (fault containment), 샌드박스화된 도구 (sandboxed tooling), 그리고 오케스트레이션 안전성 (orchestration safety)에 집중합니다.
에이전트가 실제 환경에 대한 권한을 얻어감에 따라, 런타임 엔지니어링 (runtime engineering)은 더 이상 선택 사항이 아니라 인프라의 필수 요소가 되었습니다.
미래는 운영체제 (Operating System)와 더 닮아갈 것입니다
현재의 많은 AI 제품들은 애플리케이션 (applications)으로 설계되어 있습니다. 미래의 AI 인프라는 스케줄링 (scheduling), 격리 (isolation), 권한 (permissions), 프로세스 관리 (process management), 그리고 리소스 거버넌스 (resource governance)를 제공하는 운영체제 (operating systems)와 더 유사한 모습을 띨 것입니다.
BoxAgnts의 모듈 아키텍처 (module architecture)는 이미 이러한 초기 형태를 보여주고 있습니다:
운영체제 (Operating System) BoxAgnts
────────────── ─────────
프로세스 스케줄링 (Process Scheduling) ←→ 쿼리 루프 (Query Loop (run_query_loop))
...
이는 우연이 아닙니다. AI 에이전트가 자율적인 실행 단위 (autonomous execution units)가 될 때, 이들을 관리하기 위해서는 운영체제 수준의 사고방식이 필요합니다. 프롬프트 엔지니어링 (Prompt engineering)은 유저 공간 (user-space) 도구이며, 진정한 보안 보장은 커널 공간 (kernel-space) 런타임에서 비롯됩니다.
결론
차세대 AI 시스템은 모델의 지능만으로 정의되지 않을 것입니다. 실행 신뢰성 (execution reliability)에 의해 정의될 것입니다. 현재의 아키텍처들이 의존하고 있는 "모델이 정확하므로 시스템도 정확하다"라는 가정은 프로덕션 (production) 환경에서는 통용되지 않습니다.
BoxAgnts의 엔지니어링 실무는 올바른 방향을 가리키고 있습니다: 샌드박스 실행 (sandboxed execution), 권한 격리 (capability isolation), 리소스 거버넌스 (resource governance), 결정론적 경계 (deterministic boundaries), 그리고 안전한 오케스트레이션 (secure orchestration)입니다. 이것들은 런타임 문제이며, 이를 해결하는 것이 향후 10년 동안 AI 인프라 분야에서 가장 중요한 엔지니어링 과제가 될 것입니다.
AI 에이전트의 미래는 모델을 더 똑똑하게 만드는 것이 아니라, 실행을 신뢰할 수 있게 만드는 것에 있습니다.
리소스
- BoxAgnts: https://github.com/guyoung/boxagnts
AI 자동 생성 콘텐츠
본 콘텐츠는 Dev.to AI tag의 원문을 AI가 자동으로 요약·번역·분석한 것입니다. 원 저작권은 원저작자에게 있으며, 정확한 내용은 반드시 원문을 확인해 주세요.
원문 바로가기