나노클로의 AI 에이전트 보안 모델: 컨테이너 격리와 최소 코드

신뢰할 수 없는 AI 에이전트를 위한 NanoClaw의 보안 아키텍처

NanoClaw 블로그는 AI 에이전트를 신뢰할 수 없고 잠재적으로 악의적인 것으로 취급해야 하며, 애플리케이션 수준의 권한 검사보다는 아키텍처적 격리를 주장합니다. 이 시스템은 에이전트가 잘못된 행동을 할 것이라는 원칙에 기반하여 구축되었으며, 그럴 때 피해를 제한하는 데 중점을 둡니다.

핵심 보안으로서의 컨테이너 격리

NanoClaw는 Docker 또는 macOS의 Apple Container를 사용하여 각 에이전트를 자체 컨테이너에서 실행합니다. 이러한 컨테이너는 임시적입니다 - 호출마다 새로 생성되고 이후 파괴됩니다. 에이전트는 권한 없는 사용자로 실행되며 명시적으로 마운트된 디렉토리에만 접근할 수 있습니다. 이는 에이전트가 호스트 머신에서 직접 실행되고 대부분의 사용자가 활성화하지 않는 선택적 Docker 샌드박스 모드를 갖춘 OpenClaw의 기본 접근 방식과 대조됩니다.

컨테이너 경계는 운영 체제에 의해 시행되는 밀폐된 보안을 제공하여, 구성에 관계없이 에이전트가 탈출하는 것을 방지합니다. 각 에이전트는 자체 컨테이너, 파일 시스템 및 Claude 세션 기록을 얻어, 서로 다른 데이터에 접근해야 하는 에이전트 간의 정보 유출을 방지합니다.

마운트 허용 목록 및 기본 보호

~/.config/nanoclaw/mount-allowlist.json에 있는 마운트 허용 목록은 심층 방어 역할을 하여 사용자가 실수로 민감한 경로를 마운트하는 것을 방지합니다. .ssh, .gnupg, .aws, .env, private_key, credentials와 같은 민감한 디렉토리는 기본적으로 차단됩니다. 허용 목록은 프로젝트 디렉토리 외부에 위치하여 손상된 에이전트가 자체 권한을 수정할 수 없도록 합니다.

호스트 애플리케이션 코드는 읽기 전용으로 마운트되어, 에이전트가 수행하는 어떤 작업도 컨테이너 파괴 후에 지속되지 않도록 보장합니다. 비주요 그룹은 기본적으로 신뢰되지 않아, 그룹 구성원의 프롬프트 주입으로부터 보호하기 위해 교차 그룹 메시징, 작업 스케줄링 또는 데이터 보기를 방지합니다.

최소화되고 검토 가능한 코드베이스

NanoClaw는 의도적으로 최소화된 코드베이스를 유지하며, 이는 약 400,000줄의 코드, 53개의 구성 파일 및 70개 이상의 종속성을 가진 OpenClaw와 대조됩니다. 이 시스템은 구성 요소를 재발명하기보다는 세션 관리, 메모리 압축 및 기타 기능을 위해 Anthropic의 Agent SDK에 크게 의존합니다.

이 설계는 유능한 개발자가 오후 동안 전체 코드베이스를 검토할 수 있도록 합니다. 기여 지침은 버그 수정, 보안 수정 및 단순화만을 수용합니다. 새로운 기능은 스킬을 통해 제공됩니다 - 검토 후 코딩 에이전트가 코드베이스에 병합하는 완전한 작업 참조 구현이 포함된 지침입니다.

각 설치 결과는 소유자의 특정 요구에 맞게 조정된 몇 천 줄의 코드로 끝나, 취약점이 일반적으로 숨어 있는 복잡성을 피합니다.