WebAssembly로 AI 에이전트 샌드박싱하기: 기본적으로 제로 권한
현재 HN에서 트렌드인 코스모닉의 글은 기존 리눅스 샌드박싱 메커니즘 — seccomp, seatbelt, bubblewrap — 이 근본적으로 에이전트 AI 워크로드에 부적합하다는 강력한 논지를 펼칩니다. 핵심 문제는 내재된 권한(ambient authority)입니다.
내재된 권한 문제
모든 현대 런타임은 프로세스에 환경이 제공하는 모든 권한(파일시스템, 네트워크, 사용자의 git 자격 증명, ENV의 AWS API 키 등)을 부여합니다. 프로세스는 이를 요청한 적이 없습니다. 결정론적인 사람이 작성한 바이너리의 경우 감사로 이 위험을 관리할 수 있을지 모릅니다. 하지만 LLM 에이전트와 비결정론적 워크플로는 개발자의 전체 신원과 기능을 상속받아 '참을 수 없는 공격 표면'을 만듭니다.
저자는 이를 지도 제작자의 딜레마라고 부릅니다: 유출 경로의 변화무쌍한 해안선을 매핑하려는 시도이며, LLM은 모든 매핑되지 않은 만을 찾아낼 것입니다.
WebAssembly의 역량 모델
코스모닉은 WebAssembly와 WASI를 대안으로 제시합니다. Wasm 컴포넌트는 권한이 전혀 없는 상태에서 시작합니다: 파일시스템, 네트워크, 시스템 콜, 환경 변수가 없습니다. 모든 역량은 컴포넌트 인터페이스에서 타입 임포트여야 합니다. 이는 Mark Miller의 객체-역량 모델을 런타임으로 구현한 것으로, 참조 자체가 권한입니다.
주요 시사점:
- 가상화된 부여: 파일시스템 역량이
/etc를 넘겨주지 않습니다. 대신 임시 저장소, 세션별 블롭, 데이터베이스 등 모든 저장소가 지원하는 인터페이스를 제공합니다. 컴포넌트는 추상화를 벗어날 수 없습니다. - 조합 가능한 역량: '네트워크'를 임포트하는 대신, 컴포넌트는 허용된 트래픽 형태를 가진
wasi:http또는 특정 버킷이 있는wasi:keyvalue를 임포트합니다. 모든 역량은 이름이 지정되고, 범위가 제한되며, 검토 가능합니다.
이로 인해 보안 모델이 '기본 허용, 예외 제한'에서 '기본 거부, 명시적 부여'로 전환됩니다. 저자는 이것이 AI 에이전트 보안의 유일한 건전한 기반이라고 주장합니다.
📖 원문 전체 읽기: HN AI Agents
👀 See Also
나노클로의 AI 에이전트 보안 모델: 컨테이너 격리와 최소 코드
NanoClaw는 각 AI 에이전트가 권한 없는 사용자 접근, 격리된 파일 시스템, 명시적 마운트 허용 목록을 갖춘 자체 임시 컨테이너에서 실행되는 보안 아키텍처를 구현합니다. 코드베이스는 의도적으로 최소화되어 약 1개의 프로세스와 소수의 파일로 구성되며, 기능을 재발명하기보다는 Anthropic의 Agent SDK에 의존합니다.
AI 운영 매장을 위한 AI 자동화 일일 보안 감사
AI 운영 매장은 인간의 스케줄링이나 cron 작업 없이 매일 자율적으로 보안 감사를 실행합니다. AI 에이전트는 SSRF 취약점, 인젝션 위험 및 인증 격차를 확인한 후 수석 개발자 검토를 위한 보고서를 생성합니다.
에이전트 격리 보안 분석: 샌드박스 없음에서 파이어크래커 VM까지
Cursor, Claude Code, Devin, OpenAI, E2B가 에이전트 워크로드를 어떻게 격리하는지 분석합니다. 샌드박스 없음부터 하드웨어 격리된 Firecracker 마이크로VM까지 다양한 접근 방식을 다룹니다. 컨테이너 런타임은 2019년 이후 매년 탈출 CVE가 발생한 반면, Firecracker는 7년간 게스트-호스트 탈출 사례가 단 한 건도 없습니다.
OpenClaw SOC 에이전트 통합: SIEM 홈 랩 위협 헌팅
Reddit 사용자가 Debian 13 기반의 오픈소스 SIEM 구축 사례인 'Red Threat Redemption'을 공유했습니다. Elasticsearch, Kibana, Wazuh, Zeek, pfSense와 Suricata를 통합한 후, AI 에이전트를 추가하여 자동화된 위협 상관관계 분석, 헌팅, 경고 분류 기능을 구현했습니다.