---
id: wiki-2026-0508-execution-environment-sandbox
title: Execution Environment (Sandbox)
category: 10_Wiki/Topics
status: needs_review
canonical_id: self
aliases: []
duplicate_of: none
source_trust_level: A
confidence_score: 0.92
tags: [uncategorized]
raw_sources: []
last_reinforced: 2026-05-08
github_commit: pending
inferred_by: Claude Opus 4.7 (auto-normalize 2026-05-08)
tech_stack:
  language: unspecified
  framework: unspecified
---

# [[Execution Environment (Sandbox)|Execution Environment (Sandbox)]]

## 📌 한 줄 통찰 (The Karpathy Summary)
Execution Environment(또는 Sandbox)는 에이전트가 생성한 코드를 실행하거나, 파일을 조작하고, 네트워크에 접근할 때 호스트 시스템으로부터 격리된 안전한 물리적/논리적 공간이다. 에이전트의 오작동이나 악의적인 공격(프롬프트 인젝션)으로 인한 호스트 시스템 오염, 데이터 유출, 자원 남용을 방지하기 위한 보안 방어선의 핵심이다.

## 📖 구조화된 지식 (Synthesized Content)
*   **격리 기술 (Isolation Technologies)**:
    *   **Docker/Containers**: 프로세스 및 파일 시스템 수준의 격리 제공.
    *   **WASM (WebAssembly)**: 언어 수준의 초경량 격리 및 브라우저/서버 공통 실행 환경.
    *   **VM (Virtual Machines)**: 가장 강력한 격리 성능을 제공하나 리소스 소모가 큼.
    *   **Firecracker/gVisor**: 경량 VM 기술을 통해 컨테이너의 속도와 VM의 보안성을 결합.
*   **자원 제어 (Resource Constraints)**: CPU 사용량, 메모리 할당량, 최대 실행 시간, 디스크 용량을 제한하여 DoS 공격이나 무한 루프를 방지한다.
*   **네트워크 격리 (Network Air-gapping)**: 인터넷 접근을 완전히 차단하거나, 사전에 허용된 특정 도메인(Allowlist)에 대해서만 프록시를 통해 소통하게 제한한다.
*   **가상 파일 시스템**: 에이전트가 호스트의 실제 파일에 직접 접근하지 못하게 하고, 하네스가 제공하는 가상 마운트 지점을 통해서만 파일을 읽고 쓰게 한다.
*   **상태 휘발성 (Ephemeral Environment)**: 작업이 끝나면 샌드박스 전체를 삭제하여 잔류 데이터나 사이드 이펙트가 다음 작업에 영향을 미치지 않도록 한다.

## ⚠️ 모순 및 업데이트 (Contradictions & Updates)
*   **보안 vs 편의성**: 격리가 강화될수록 에이전트가 로컬 개발 환경의 도구나 라이브러리를 자유롭게 사용하는 데 제약이 발생한다.
*   **성능 오버헤드**: 매번 새로운 샌드박스를 띄우고 라이브러리를 설치하는 과정에서 실행 지연(Latency)이 발생한다.
*   **복잡한 상태 복구**: 샌드박스가 삭제될 때 중요한 작업 산출물이나 수정 사항을 안전하게 호스트로 옮기는 동기화 로직이 정교해야 한다.

## 🔗 지식 연결 (Graph)
### Related Concepts
*   [[Agent Harness|Agent Harness]]
    *   연결 이유: 샌드박스는 하네스가 명령을 내리는 물리적 실행 대상이다.
*   [[Safety & Reliability|Safety & Reliability]]
    *   연결 이유: 샌드박스는 시스템의 안정성을 보장하는 최후의 물리적 보루이다.
*   [[E-component (Execution Loop)|E-component (Execution Loop)]]
    *   연결 이유: 실행 루프에서 코드가 실행되는 실제 공간이다.

### Deeper Research Questions
*   에이전트가 샌드박스 내부에서 관리자 권한을 획득하여 호스트로 탈출(Escape)하려 할 때, 이를 커널 레벨에서 즉시 차단하는 감시 모델은 무엇인가?
*   초경량 WASM 샌드박스에서 Python의 복잡한 머신러닝 라이브러리(PyTorch 등)를 성능 저하 없이 실행하는 기술적 한계는 어디까지인가?
*   수천 명의 사용자가 동시에 에이전트를 사용할 때, 각 사용자별로 독립된 샌드박스를 수 밀리초(ms) 내에 생성하고 폐기하는 서버리스 아키텍처는 어떻게 설계하는가?

### Practical Application Contexts
*   **Implementation:** Python의 `subprocess`나 Docker SDK를 사용하여 명령어를 실행하고 결과를 캡처하며, `resource` 모듈을 통해 메모리를 제한한다.
*   **System Design:** 에이전틱 코딩 툴 구축 시, 사용자의 로컬 파일 시스템을 읽기 전용으로 마운트하고 쓰기 작업은 샌드박스 내의 임시 폴더에서만 수행하게 한다.

---
*Last updated: 2026-05-01*

## 🤖 LLM 활용 힌트 (How to Use This Knowledge)

**언제 이 지식을 쓰는가:**
- *(TODO)*

**언제 쓰면 안 되는가:**
- *(TODO)*

## 🧪 검증 상태 (Validation)

- **정보 상태:** needs_review
- **출처 신뢰도:** A
- **검토 이유:** *(P-Reinforce Phase 1 자동 정규화. 본문 검증 필요.)*

## 🧬 중복 검사 (Duplicate Check)

- **기존 유사 문서:** *(TODO: 인덱서 클러스터 리포트 참조)*
- **처리 방식:** UPDATE (자동 정규화)
- **처리 이유:** Phase 1 정규화 — 옛 템플릿/누락 필드 보강.

## 🕓 변경 이력 (Changelog)

| 날짜 | 변경 내용 | 처리 방식 | 신뢰도 |
|------|-----------|-----------|--------|
| 2026-05-08 | P-Reinforce Phase 1 정규화 (frontmatter + 헤더 표준화) | UPDATE | A |

## 💻 코드 패턴 (Code Patterns)

**패턴 1:** *(TODO: 이 프로젝트 컨벤션 반영한 구조 스켈레톤)*

```text
# TODO
```

## 🤔 의사결정 기준 (Decision Criteria)

**선택 A를 써야 할 때:**
- *(TODO)*

**선택 B를 써야 할 때:**
- *(TODO)*

**기본값:**
> *(TODO)*

## ❌ 안티패턴 (Anti-Patterns)

- **[안티패턴]:** *(TODO: 무엇을 하면 안 되는가 + 이유 + 대신 무엇을)*