에이전트 격리 보안 분석: 샌드박스 없음에서 파이어크래커 VM까지
레딧 게시물이 다양한 AI 코딩 에이전트가 워크로드 격리를 어떻게 처리하는지 분석하며, 접근 방식 간의 상당한 보안 차이를 강조합니다.
현재 격리 방법
분석은 다섯 가지 플랫폼을 다룹니다:
- Cursor: 샌드박스 없이 직접 셸에서 명령 실행
- Claude Code: 상세 내용 명시되지 않음
- Devin: 상세 내용 명시되지 않음
- OpenAI: 상세 내용 명시되지 않음
- E2B: 하드웨어 격리된 Firecracker 마이크로VM 사용
보안 비교
출처는 구체적인 보안 데이터를 제공합니다:
- 컨테이너 런타임은 2019년 이후 매년 탈출 CVE 발생
- Firecracker는 7년간 게스트-호스트 탈출 사례 없음
- AWS 진술: "우리는 컨테이너를 보안 경계로 간주하지 않습니다"
실제 사고 사례
게시물은 여러 보안 사고를 다룹니다:
- Devin이 하나의 악성 GitHub 이슈를 통해 장악됨
- Slack AI 데이터 유출 사고
- Clinejection 공급망 공격
핵심 개념
분석은 다음을 확인합니다:
- 전통적 격리가 가정하는 다섯 가지 전제(에이전트가 깨뜨리는)
- 시리즈에서 탐구할 여섯 가지 격리 차원
AI 코딩 에이전트를 사용하는 개발자에게, 이는 에이전트가 코드를 어떻게 실행하는지 이해하고 다양한 격리 접근 방식의 보안 함의를 인지하는 중요성을 강조합니다.
📖 전체 출처 읽기: r/LocalLLaMA
👀 See Also
AviationWeather.gov API에 'Stop Claude' 프롬프트 인젝션 시도가 포함되어 있습니다
한 사용자가 미국 정부의 AviationWeather.gov API가 Claude CoWork를 통해 접속할 때 응답에 'Stop Claude'라는 텍스트를 반환한다고 보고하며, 이는 프롬프트 인젝션 공격에 대한 보안 경고를 유발했습니다.
중요한 OpenClaw 보안 취약점이 2026.3.28에 패치되었습니다.
OpenClaw 버전 2026.3.28은 Ant AI Security Lab에서 발견한 샌드박스 우회, 권한 상승, SSRF 위험을 포함한 8개의 치명적 보안 취약점을 패치했습니다. 2026.3.24 이하 버전 사용자는 즉시 업데이트해야 합니다.
클로드 코워크 '모든 브라우저 작업 허용' 권한 보안 문제점 및 제안된 해결 방안
레딧 사용자가 지적하길, Claude Cowork의 '모두 허용' 버튼은 모든 미래 세션에 걸쳐 영구적이고 제한 없는 브라우저 접근 권한을 부여하며, 이는 가시성, 경계, 만료 기한 없이 보안 위험을 초래한다고 합니다. 해당 게시물은 더 안전한 기본값으로 세션 범위 또는 스킬 범위 권한을 제안합니다.
보안 스캔 결과 AI 에이전트 find-skills 도구에서 심각도 높은 취약점 발견
AI 에이전트 설정에 보안 스캔을 실행한 개발자가 추가 스킬을 설치하는 데 사용한 find-skills 도구에서 높은 심각도의 취약점을 발견하여 생태계 안전에 대한 우려를 불러일으켰습니다.