엔도 패밀리어: AI 에이전트를 위한 객체-역량 샌드박스

HardenedJS와 객체-권한(ocap) 보안 모델을 기반으로 구축된 Endo Familiar 데모는 현재 AI 에이전트 프레임워크의 근본적인 보안 결함인 "자격 증명 번들 문제"를 해결합니다. 오늘날 대부분의 에이전트는 파일 시스템, API 키, 자격 증명에 대한 전체 액세스 권한을 부여받아, 프롬프트 인젝션이나 정렬 오류가 치명적인 피해를 초래할 수 있는 단일 실패 지점을 만듭니다.

작동 방식

데모에서 엔지니어 Kris Kowal은 lal이라는 에이전트에게 단일 권한, 즉 명령 프라이머 읽기를 부여하여 생성합니다. 파일 시스템 액세스, 네트워크, 자격 증명은 없습니다. 에이전트는 명시적으로 참조를 보유한 것에 대해서만 행동할 수 있습니다. 파일 작업이 필요할 때는 일반 파일 시스템 게이트웨이가 아닌 특정 디렉토리의 마운트가 생성됩니다. 마운트는 루트 위로 이동할 수 없고, 트리 밖으로 심볼릭 링크를 따를 수 없으며, 구조적으로 경계를 벗어날 수 없습니다. 이 마운트는 참조로 에이전트에게 전달됩니다.

그런 다음 에이전트는 디렉토리의 읽기 전용 뷰를 생성하는 프로그램을 작성합니다. 생성된 코드는 기본 권한이 없는 샌드박스에서 실행됩니다. 출력은 원본에서 파생된 더 좁은 권한이며, 이렇게 좁혀진 권한이 에이전트에게 다시 전달됩니다. 각 단계에서 권한 범위는 정확히 필요한 만큼으로 축소됩니다.

주요 기술 세부 사항

• 객체-권한 모델: 참조가 곧 권한입니다. 암시적 권한 풀은 존재하지 않습니다. 코드가 참조를 보유하지 않으면 위조할 수 없습니다.
• 트래버설 이스케이프 없음: 파일 시스템 마운트는 심볼릭 링크를 따르거나 루트 디렉토리를 벗어날 수 없습니다.
• 샌드박스 코드 생성: 에이전트는 내장된 권한이 없는 샌드박스에서 프로그램을 작성합니다. 모든 입력은 명시적 참조입니다.
• WebSocket 릴레이: 동료가 WebSocket 릴레이를 통해 원격 디렉토리를 공유합니다. 에이전트는 원격 파일임을 알지 못한 채 요약합니다. 단지 읽기 전용 뷰에 대한 참조만 보유하기 때문입니다.

지금 중요한 이유

이 기사는 AI 에이전트 배포가 적절한 보안 기반 없이 위험할 정도로 가속화되고 있다고 주장합니다. 10년 전 소셜 미디어 앱이 제3자 코드에 전체 사용자 권한을 부여했던 실수가 AI 에이전트에서 반복되고 있습니다. Endo 접근 방식은 에이전트가 프롬프트 인젝션을 통해 하이재킹되더라도 피해가 부여된 특정 권한으로 제한되도록 보장합니다.