bluemsi/2nd
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
main
2nd/10_Wiki/Topics/Harness_Research_2026-05/Sandbox.md
T
Antigravity Agent f8b21af4be Wiki cleanup: error-doc removal, dedup merge, link normalization 
10_Wiki/Topics 대규모 정리:
- 오류 캡처/미완성 stub 문서 227개 제거
- 교차폴더 중복 43클러스터 병합 (63파일 → redirect)
- 링크명 정규화: 깨진 링크 수정·redirect 직결·개념 매핑 ~2,400건
- 카테고리 MOC 6개 신규 생성
- Graph 섹션 미해결 related-keyword 링크 10,058건 제거

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
2026-05-20 23:52:15 +09:00

3.9 KiB
Raw Permalink Blame History

id, title, category, status, confidence_score, tags, created_at, updated_at
id title category status confidence_score tags created_at updated_at
HARNESS-RES-2026-05-005 샌드박스 (Sandbox) 10_Wiki/Topics/Infrastructure verified 0.97
harness
sandbox
security
isolation
microvm
docker
2026-05-05 2026-05-08

샌드박스 (Sandbox)

📌 한 줄 통찰 (The Karpathy Summary)

"에이전트의 안전한 놀이터: 커널 수준의 격리와 네트워크 통제를 통해 에이전트가 생성한 코드가 호스트 시스템을 오염시키지 않도록 보호하는 독립된 실행 런타임."

📖 구조화된 지식 (Synthesized Content)

  • 에이전트 실행의 격리 및 확장성 제공: 에이전트가 로컬 환경에서 직접 코드를 실행하는 것은 보안 위험이 따르고 대규모 작업으로 확장하기 어렵다 [6]. 샌드박스를 도입하면 하네스가 샌드박스에 연결하여 안전하게 코드를 실행하고, 파일을 검사하며, 종속성을 설치하여 작업을 완료할 수 있다 [6]. 이러한 환경은 필요에 따라 온디맨드로 생성되고 여러 작업에 분산 배포된 후 작업이 끝나면 폐기될 수 있어 뛰어난 확장성을 제공한다 [6].
  • 주요 아키텍처 및 구현 방식:
    • MicroVM 기반: E2B, LangSmith 등은 Firecracker 등을 활용해 150ms 미만의 콜드 스타트, 커널 수준 격리, 리소스 제한(CPU/메모리/디스크) 기능을 갖춘 샌드박스를 제공한다 [7].
    • 컨테이너 기반: AutoGen은 Docker 네이티브 샌드박싱을 지원하여 격리된 코드 실행 환경을 제공하며 [8], Daytona는 90ms 미만의 시작 속도와 상태 지속성을 갖춘 OCI 컨테이너 기반 샌드박스를 지원한다 [7].
    • V8 Isolate 기반: Cloudflare Dynamic Workers와 같이 기존 컨테이너보다 최대 100배 빠르고 메모리 효율적인 방식을 사용하여 수 밀리초 내에 격리 환경을 시작하는 초경량 기술도 활용된다 [9].
    • 운영체제 및 커널 수준 보호: Cursor는 macOS Seatbelt, Linux Landlock 및 seccomp를 이용한 크로스 플랫폼 샌드박스를 구현하였으며, NVIDIA OpenShell은 Landlock LSM 및 seccomp BPF를 통해 커널 수준의 보안 제어를 제공한다 [7, 9].
  • 제어 평면(Control Plane)과의 엄격한 분리: 안전한 운영을 위해 샌드박스는 하네스의 제어 평면(인증, 과금, 오케스트레이션)과 샌드박스의 컴퓨팅 평면(파일, 셸, 포트)을 엄격히 분리하도록 설계된다 [9]. 이 과정에서 아웃바운드 HTTP 요청 등을 가로채어 자격 증명(Secrets)과 같은 민감한 정보가 런타임 환경 시스템 외부에 유지되도록 보호한다 [7, 9].

⚖️ 트레이드오프 및 고려사항

  • 샌드박스 제약에 대한 에이전트 훈련의 필요성: 샌드박스 환경을 도입하더라도, 에이전트가 샌드박스의 제약을 인식하도록 명시적으로 훈련되지 않으면 허용되지 않은 파일 작업이나 네트워크 접근을 시도하다 오류를 발생시킬 수 있다 [7].
  • 권한 상승 위험의 선제적 차단: 표준적인 샌드박스 격리 기능만으로는 에이전트가 자체 하네스 설정을 수정하여 권한을 상승시키는 것을 완벽히 막을 수 없다 [7, 9]. 따라서 OPA(Open Policy Agent) 기반 프록시와 같은 추가적인 보안 아키텍처가 동반되어야 한다 [9].
  • 지연 시간(Latency) 트레이드오프: AIO Sandbox처럼 풍부한 기능(브라우저, 셸, VSCode 서버 등)을 갖춘 환경은 구동에 4~8초가 소요되는 반면 [11], V8 Isolate 기반 환경은 밀리초 단위로 매우 빠르게 시작되지만 실행할 수 있는 코드와 메모리 제약이 따를 수 있다 [9].

🔗 지식 연결 (Graph)

Last updated: 2026-05-08

Reference in New Issue View Git Blame Copy Permalink