엔도 패밀리어: AI 에이전트를 위한 객체-역량 샌드박스

HardenedJS와 객체-권한(ocap) 보안 모델을 기반으로 구축된 Endo Familiar 데모는 현재 AI 에이전트 프레임워크의 근본적인 보안 결함인 "자격 증명 번들 문제"를 해결합니다. 오늘날 대부분의 에이전트는 파일 시스템, API 키, 자격 증명에 대한 전체 액세스 권한을 부여받아, 프롬프트 인젝션이나 정렬 오류가 치명적인 피해를 초래할 수 있는 단일 실패 지점을 만듭니다.
작동 방식
데모에서 엔지니어 Kris Kowal은 lal이라는 에이전트에게 단일 권한, 즉 명령 프라이머 읽기를 부여하여 생성합니다. 파일 시스템 액세스, 네트워크, 자격 증명은 없습니다. 에이전트는 명시적으로 참조를 보유한 것에 대해서만 행동할 수 있습니다. 파일 작업이 필요할 때는 일반 파일 시스템 게이트웨이가 아닌 특정 디렉토리의 마운트가 생성됩니다. 마운트는 루트 위로 이동할 수 없고, 트리 밖으로 심볼릭 링크를 따를 수 없으며, 구조적으로 경계를 벗어날 수 없습니다. 이 마운트는 참조로 에이전트에게 전달됩니다.
그런 다음 에이전트는 디렉토리의 읽기 전용 뷰를 생성하는 프로그램을 작성합니다. 생성된 코드는 기본 권한이 없는 샌드박스에서 실행됩니다. 출력은 원본에서 파생된 더 좁은 권한이며, 이렇게 좁혀진 권한이 에이전트에게 다시 전달됩니다. 각 단계에서 권한 범위는 정확히 필요한 만큼으로 축소됩니다.
주요 기술 세부 사항
- 객체-권한 모델: 참조가 곧 권한입니다. 암시적 권한 풀은 존재하지 않습니다. 코드가 참조를 보유하지 않으면 위조할 수 없습니다.
- 트래버설 이스케이프 없음: 파일 시스템 마운트는 심볼릭 링크를 따르거나 루트 디렉토리를 벗어날 수 없습니다.
- 샌드박스 코드 생성: 에이전트는 내장된 권한이 없는 샌드박스에서 프로그램을 작성합니다. 모든 입력은 명시적 참조입니다.
- WebSocket 릴레이: 동료가 WebSocket 릴레이를 통해 원격 디렉토리를 공유합니다. 에이전트는 원격 파일임을 알지 못한 채 요약합니다. 단지 읽기 전용 뷰에 대한 참조만 보유하기 때문입니다.
지금 중요한 이유
이 기사는 AI 에이전트 배포가 적절한 보안 기반 없이 위험할 정도로 가속화되고 있다고 주장합니다. 10년 전 소셜 미디어 앱이 제3자 코드에 전체 사용자 권한을 부여했던 실수가 AI 에이전트에서 반복되고 있습니다. Endo 접근 방식은 에이전트가 프롬프트 인젝션을 통해 하이재킹되더라도 피해가 부여된 특정 권한으로 제한되도록 보장합니다.
📖 전체 출처 읽기: HN AI Agents
👀 See Also

AI 에이전트 프로덕션 삭제 사고: 패턴과 해결 방법
PocketOS, Replit, Cursor의 프로덕션 삭제 사고는 공통적인 접근 패턴을 공유합니다. 해결책: 에이전트는 프로덕션 자격 증명을 받지 않으며, 모든 변경 사항은 정책 점수 게이트가 있는 CI/CD를 통해 흐릅니다.

PyPI 공급망 공격 이후 litellm의 세 가지 오픈소스 대안
PyPI의 litellm 버전 1.82.7과 1.82.8이 공급망 공격으로 인증정보 탈취 악성코드에 감염되었습니다. 이에 대응할 수 있는 세 가지 오픈소스 대안으로는 Bifrost(Go 기반, P99 지연시간 약 50배 빠름), Kosong(Kimi의 에이전트 지향), Helicone(분석 기능이 있는 AI 게이트웨이)이 있습니다.

로블록스 치트 및 AI 도구가 Vercel 플랫폼 중단을 초래했습니다
Roblox 치트와 AI 도구가 결합되어 Vercel의 전체 플랫폼 가동 중단을 초래했다는 보도가 나왔으며, 이는 Hacker News에서 66점과 24개의 댓글을 기록하며 상당한 논의를 불러일으켰습니다.

OpenClaw가 생산성 플레이북의 수상한 스크립트를 차단한 후 재무 워크북 구축을 계속했습니다
한 사용자가 OpenClaw에게 의심스러운 생산성 플레이북이 포함된 zip 파일을 제공했습니다. OpenClaw는 스크립트 실행을 거부하고, 스킬 디렉토리에 자동 설치를 시도하는 점을 지적한 후, 내장 스킬을 사용해 수동으로 워크북을 만들었습니다.