여러 제품에 걸쳐 Claude를 격리하는 방법

2026년 5월 30일 - Link Blog

여러 제품에 걸쳐 Claude를 격리하는 방법. 샌드박싱 (sandboxing) 제품에 대해 제가 자주 하는 불만은 상세한 *문서화 (documented)*가 거의 되어 있지 않다는 점이며, 상세한 문서가 없으면 그것들을 얼마나 신뢰할 수 있는지 알기 어렵다는 것입니다.

Anthropic은 Claude.ai, Claude Code, 그리고 Cowork 전반에 걸쳐 그들의 다양한 샌드박스 (sandbox) 기술이 어떻게 작동하는지에 대한 환상적인 개요를 방금 발표했습니다.

우리는 프로세스 샌드박스 (process sandboxes), VM (가상 머신), 파일 시스템 경계 (filesystem boundaries), 그리고 송신 제어 (egress controls)를 통해 에이전트 (agent)가 어디서 어떻게 행동할 수 있는지를 제한합니다. 목표는 에이전트가 도달할 수 있는 범위에 엄격한 경계를 설정하는 것입니다. 예를 들어, 자격 증명 (credentials)이 샌드박스에 절대 들어가지 않는다면, 그 원인이 사용자이든, 모델이 "창의적인" 경로를 찾아낸 것이든, 혹은 공격자이든 상관없이 데이터 유출 (exfiltrated)을 방지할 수 있습니다.

Claude.ai는 gVisor를 사용합니다. 로컬에서 실행되는 Claude Code는 macOS에서 Seatbelt를, Linux에서 Bubblewrap을 사용합니다. Claude Cowork는 전체 VM (macOS에서는 Apple의 Virtualization framework, Windows에서는 HCS)을 실행합니다.

이 글에는 이전에 다루었던 api.anthropic.com/v1/files 데이터 유출 (exfiltration) 벡터와 같이 그들이 놓쳤던 위험에 대한 흥미로운 이야기들을 포함하여 많은 내용이 담겨 있습니다.

이 글을 읽고 나니 Anthropic의 오픈 소스 srt (Anthropic Sandbox Runtime) 도구를 다시 살펴볼 때가 되었다는 생각이 들었습니다. 이제 제대로 시도해 볼 준비가 될 만큼 충분히 성숙해 보입니다.

최근 기사

• Claude Opus 4.8: "겸손하지만 실질적인 개선" - 2026년 5월 28일
• Anthropic과 OpenAI가 제품-시장 적합성 (product-market fit)을 찾은 것 같다 - 2026년 5월 27일
• AI에 관한 교황 레오 14세의 회칙에 대한 노트 - 2026년 5월 25일