ClamBot: 보안을 위해 WASM 샌드박스에서 LLM 생성 코드를 실행하는 AI 에이전트

ClamBot의 기능

ClamBot은 기존 에이전트 프레임워크의 보안 문제를 해결하기 위해 LLM이 생성한 모든 코드를 exec()나 서브프로세스 호출 대신 WebAssembly 샌드박스에서 실행하는 AI 에이전트 프레임워크입니다. 제작자는 호스트 머신에서 임의의 코드를 직접 실행하는 프레임워크들을 시도한 후 이 프로젝트를 만들었으며, LangChain이 이 방식으로 CVE를 받은 사례, AutoGen이 서브프로세스로 셸을 호출하는 방식, SWE-Agent가 모델에서 bash 명령어를 실행하는 방식을 예로 들었습니다.

기술적 구현

ClamBot은 Wasmtime에서 QuickJS를 사용하는 WASM 샌드박스인 amla-sandbox 위에 구축되었습니다. LLM은 메모리 격리된 샌드박스에서 네트워크 접근 없이 실행되는 JavaScript 코드를 작성합니다. 모든 도구 호출(HTTP, 파일 시스템, cron)은 Python으로 돌아가는 승인 게이트를 통과해야 합니다. Docker나 VM이 필요하지 않으며 하나의 바이너리로 실행됩니다.

주요 기능

• 샌드박스 보안: 모든 코드가 WASM에서 실행되어 호스트 메모리나 네트워크에 접근할 수 없음
• 승인 게이트: 모든 도구 호출에 SHA-256 지문 승인 게이트 적용, 사전 승인 패턴 지원(예: "api.coinbase.com에 대한 web_fetch 허용")
• Clam 재사용: 성공한 스크립트는 "clams"로 저장되어 재사용 가능, 반복 요청에 대한 API 비용 절감
• 다중 제공업체 지원: OpenRouter, Anthropic, OpenAI, Gemini, DeepSeek, Groq, Ollama
• Telegram 통합: 인라인 승인 버튼이 있는 Telegram 봇
• 추가 기능: 지속적 메모리, cron 스케줄링, 사설 IP 차단 SSRF 보호, 비밀 정보가 로그/도구 인수/추적에 나타나지 않음

예시 워크플로우

사용자가 "바이낸스에서 상위 변동 종목은 무엇인가요?"라고 묻습니다. 샌드박스가 JavaScript 실행 → Binance API에 http_request 요청 → 승인 게이트 통과 → 결과 반환. 봇은 24시간 변동률 기준 바이낸스 상위 10개 변동 종목으로 응답합니다.

시작하기

bash git clone https://github.com/clamguy/clambot.git
cd clambot
uv run clambot onboard
uv run clambot agent

스택과 규모

이 프로젝트는 Python + QuickJS/Wasmtime으로 구축되었으며, 약 10,000줄의 코드를 포함하고 있습니다. OpenClaw와 nanobot에서 영감을 받았습니다. 제작자는 "내 서버에서 실제로 신뢰할 수 있는 AI 에이전트"를 원했기 때문에 이 프로젝트를 만들었습니다.