WebAssembly로 AI 에이전트 샌드박싱하기: 기본적으로 제로 권한

✍️ OpenClawRadar📅 게시일: May 9, 2026🔗 Source
WebAssembly로 AI 에이전트 샌드박싱하기: 기본적으로 제로 권한
Ad

현재 HN에서 트렌드인 코스모닉의 글은 기존 리눅스 샌드박싱 메커니즘 — seccomp, seatbelt, bubblewrap — 이 근본적으로 에이전트 AI 워크로드에 부적합하다는 강력한 논지를 펼칩니다. 핵심 문제는 내재된 권한(ambient authority)입니다.

내재된 권한 문제

모든 현대 런타임은 프로세스에 환경이 제공하는 모든 권한(파일시스템, 네트워크, 사용자의 git 자격 증명, ENV의 AWS API 키 등)을 부여합니다. 프로세스는 이를 요청한 적이 없습니다. 결정론적인 사람이 작성한 바이너리의 경우 감사로 이 위험을 관리할 수 있을지 모릅니다. 하지만 LLM 에이전트와 비결정론적 워크플로는 개발자의 전체 신원과 기능을 상속받아 '참을 수 없는 공격 표면'을 만듭니다.

저자는 이를 지도 제작자의 딜레마라고 부릅니다: 유출 경로의 변화무쌍한 해안선을 매핑하려는 시도이며, LLM은 모든 매핑되지 않은 만을 찾아낼 것입니다.

WebAssembly의 역량 모델

코스모닉은 WebAssembly와 WASI를 대안으로 제시합니다. Wasm 컴포넌트는 권한이 전혀 없는 상태에서 시작합니다: 파일시스템, 네트워크, 시스템 콜, 환경 변수가 없습니다. 모든 역량은 컴포넌트 인터페이스에서 타입 임포트여야 합니다. 이는 Mark Miller의 객체-역량 모델을 런타임으로 구현한 것으로, 참조 자체가 권한입니다.

주요 시사점:

  • 가상화된 부여: 파일시스템 역량이 /etc를 넘겨주지 않습니다. 대신 임시 저장소, 세션별 블롭, 데이터베이스 등 모든 저장소가 지원하는 인터페이스를 제공합니다. 컴포넌트는 추상화를 벗어날 수 없습니다.
  • 조합 가능한 역량: '네트워크'를 임포트하는 대신, 컴포넌트는 허용된 트래픽 형태를 가진 wasi:http 또는 특정 버킷이 있는 wasi:keyvalue를 임포트합니다. 모든 역량은 이름이 지정되고, 범위가 제한되며, 검토 가능합니다.

이로 인해 보안 모델이 '기본 허용, 예외 제한'에서 '기본 거부, 명시적 부여'로 전환됩니다. 저자는 이것이 AI 에이전트 보안의 유일한 건전한 기반이라고 주장합니다.

📖 원문 전체 읽기: HN AI Agents

Ad

👀 See Also

Gemini-Cli 및 Gemini Pro 구독과 함께 Google 계정 사용의 위험성 탐구
Security

Gemini-Cli 및 Gemini Pro 구독과 함께 Google 계정 사용의 위험성 탐구

Gemini-Cli와 Gemini Pro 구독이 Google 계정에 일부 위험을 초래할 수 있습니다. 이러한 AI 도구를 사용할 때 발생할 수 있는 취약점에 대해 알아야 할 사항은 다음과 같습니다.

OpenClawRadar
로컬 AI 에이전트를 파이어크래커 마이크로VM으로 샌드박싱하기
Security

로컬 AI 에이전트를 파이어크래커 마이크로VM으로 샌드박싱하기

한 개발자가 Firecracker 마이크로VM 내에서 Alpine Linux를 실행하여 AI 에이전트 실행을 격리하는 샌드박스를 만들어, 호스트 머신에서 직접 명령을 실행하는 에이전트에 대한 보안 문제를 해결했습니다. 이 설정은 통신을 위해 vsock을 사용하며 MCP를 통해 Claude Desktop에 연결합니다.

OpenClawRadar
AI 에이전트의 봇넷 참여 방지: 보안 고려사항
Security

AI 에이전트의 봇넷 참여 방지: 보안 고려사항

커뮤니티에서 자율적인 AI 에이전트가 하이재킹되거나 악성 봇넷에 사용되는 것을 방지하는 방법에 대해 논의합니다.

OpenClaw Radar
OpenClaw 보안 경고: 50만 개 공개 인스턴스, 기본 설정으로 시스템 노출 위험
Security

OpenClaw 보안 경고: 50만 개 공개 인스턴스, 기본 설정으로 시스템 노출 위험

보안 분석 결과 50만 개의 OpenClaw 인스턴스가 공개적으로 접근 가능하며, 이 중 3만 개는 알려진 보안 위험을 가지고 있고 1만 5천 개는 알려진 취약점을 통해 악용될 수 있습니다. 기본 설치 시 인증이 비활성화되고 0.0.0.0에 바인딩되어 에이전트 설정이 공개 인터넷에 노출됩니다.

OpenClawRadar