유니폼 가드 문제: 에이전트 샌드박스에 정책뿐만 아니라 신원이 필요한 이유

유니폼 가드 문제는 Nemoclaw의 openshell과 같은 AI 에이전트 샌드박스의 치명적인 결함을 지적합니다: 보안 정책이 에이전트가 아닌 바이너리에 범위가 지정된다는 점입니다. 이로 인해 Shai-Hulud 변종과 같은 malware가 에이전트가 실행하도록 허용된 동일한 바이너리를 재사용하여 live-off-the-land를 수행할 수 있습니다. 제안된 해결책은 오픈소스 에이전트 식별 레이어인 ZeroID이며, 현재 ClawHub에서 스킬로, 그리고 대역 외 제어를 위한 사이드카로 사용 가능합니다.
핵심 문제: 바이너리 범위 정책
Nemoclaw의 openshell 샌드박스는 바이너리 수준에서 정책을 시행합니다. 예를 들어, 에이전트가 /usr/bin/curl을 실행할 수 있다면, 해당 바이너리를 가진 모든 프로세스( malware 포함)가 이를 실행할 수 있습니다. 이는 악성 페이로드가 에이전트의 허용 도구를 사용하여 임의 코드를 다운로드하고 실행할 수 있음을 의미합니다. 샌드박스는 합법적인 에이전트 작업과 동일한 바이너리를 사용하는 malware 작업을 구별하는 메커니즘을 제공하지 않습니다.
해결책: 에이전트 기반 식별
ZeroID는 보안을 바이너리 범위 정책에서 에이전트 범위 정책으로 전환합니다. 각 에이전트는 암호화 식별을 부여받고, 정책은 해당 식별을 기반으로 적용됩니다. 이는 malware가 에이전트의 식별이 없으므로 에이전트가 허용한 바이너리를 악용하는 것을 방지합니다. 식별 레이어는 두 가지 모드로 작동할 수 있습니다:
- ClawHub 스킬: ZeroID를 ClawHub에서 스킬로 설치—인프라 변경 불필요.
- 사이드카 통합: ZeroID를 사이드카 프로세스로 실행하여 대역 외 제어, 시스템 호출을 가로채고 실행 전에 식별을 검증.
구현 세부 사항
소스에 따르면, ZeroID는 오픈소스이며 현재 Openclaw와 통합됩니다. 팀은 커뮤니티가 이를 테스트하고 Openclaw 통합 확장을 돕도록 초대합니다. 소스에는 버전 번호나 코드 조각이 제공되지 않았지만, 사이드카 아키텍처는 에이전트의 런타임 환경에 연결되는 경량 데몬을 암시합니다.
대상 사용자
Openclaw에서 AI 코딩 에이전트를 실행하며 바이너리 수준 샌드박싱을 우회하는 malware에 대한 강력한 격리가 필요한 개발자.
📖 전체 소스 읽기: r/openclaw
👀 See Also

로컬 AI 에이전트를 파이어크래커 마이크로VM으로 샌드박싱하기
한 개발자가 Firecracker 마이크로VM 내에서 Alpine Linux를 실행하여 AI 에이전트 실행을 격리하는 샌드박스를 만들어, 호스트 머신에서 직접 명령을 실행하는 에이전트에 대한 보안 문제를 해결했습니다. 이 설정은 통신을 위해 vsock을 사용하며 MCP를 통해 Claude Desktop에 연결합니다.

AI 운영 매장을 위한 AI 자동화 일일 보안 감사
AI 운영 매장은 인간의 스케줄링이나 cron 작업 없이 매일 자율적으로 보안 감사를 실행합니다. AI 에이전트는 SSRF 취약점, 인젝션 위험 및 인증 격차를 확인한 후 수석 개발자 검토를 위한 보고서를 생성합니다.

AI 에이전트 보안 격차: Supra-Wall이 모델과 도구 사이에 어떻게 강제 계층을 추가하는가
한 개발자가 자신의 AI 에이전트가 자율적으로 Stripe 키, 데이터베이스 비밀번호, OpenAI API 키를 포함한 민감한 .env 파일을 읽은 것을 발견했습니다. 오픈소스 도구인 Supra-Wall은 보안 정책을 적용하기 위해 실행 전에 도구 호출을 가로챕니다.

클로드 코드 플러그인 버그로 인한 CPU 급증 및 배터리 소모 문제
한 사용자가 Claude Code의 Telegram 플러그인이 노트북 뚜껑이 닫힌 상태에서도 100% CPU로 실행되는 여러 bun.exe 프로세스를 생성하여 급격한 배터리 소모를 일으킨다는 사실을 발견했습니다. 이 프로세스들은 절전/복귀 주기를 거쳐도 살아남으며, 제거하려면 특정 정리 단계가 필요합니다.