왜 샌드박스 AI 에이전트가 자율 AI의 미래인가요?

챗봇에서 에이전트로의 전환은 예측이 아닙니다. 실제로 일어나고 있습니다. 기업들은 단순한 대화를 넘어서는 AI를 원합니다. 코드 실행, 워크플로 자동화, 시스템 모니터링 및 자율적인 행동을 하는 AI입니다.

이제 더 이상 자율 AI 에이전트가 주류가 될 것인지에 대한 질문이 아닙니다. 현재의 아키텍처가 모든 것을 태우지 않고 이를 지원할 수 있는지가 문제입니다.

증거는 그렇지 않다고 말합니다.

OpenClaw는 수요를 입증했습니다. 문제도 입증했습니다.

OpenClaw는 최근 기억에 남는 가장 빠르게 성장하는 오픈 소스 프로젝트입니다. 10주 만에 150,000개 이상의 GitHub 스타, 단 30일 동안 416,000회 이상의 npm 다운로드, CNBC, CNN, Fortune, TechCrunch의 보도를 받았습니다. 이 프로젝트는 3개월 동안 5번의 이름 변경을 겪었고, Anthropic과의 상표 분쟁도 포함되어 있습니다. 이 프로젝트는 사람들이 단순히 이야기하는 것이 아니라 실제로 행동하는 AI 에이전트를 원한다는 중요한 사실을 보여주었습니다.

그런데 보안 보고서가 들어오기 시작했습니다.

보안 감사 결과는 끔찍했습니다. 스킬 마켓플레이스에서의 악성 소프트웨어, 분석된 스킬의 3분의 1 이상에서의 프롬프트 주입, Cisco의 보안 팀에 의해 입증된 데이터 유출이 있었습니다.

보안 커뮤니티의 반응은 일치했습니다: 원시 접근 모델은 근본적으로 결함이 있습니다.

수요는 실제였습니다. 실행은 준비되지 않았습니다.

무엇이 잘못되었는가: 원시 시스템 접근 모델

OpenClaw의 아키텍처는 AI 에이전트에게 호스트 머신에 대한 전체 접근을 제공합니다. 셸 명령, 파일 시스템 읽기 및 쓰기, 스크립트 실행, 브라우저 자동화 등 모든 것이 사용자의 권한으로 사용자의 하드웨어에서 실행됩니다.

이것은 강력합니다. 그러나 프로젝트가 직면한 거의 모든 보안 문제의 근본 원인이기도 합니다.

플랫폼은 또한 아키텍처 문제를 가지고 있습니다. 평문 자격 증명 저장, 문서화된 원격 코드 실행 취약점, 검증 프로세스가 없는 공개 스킬 레지스트리 등입니다. 샌드박스가 없습니다. 에이전트의 실행 환경과 사용자의 개인 데이터 간의 격리가 없습니다.

근본적인 문제는 패치할 수 있는 버그가 아닙니다. 그것은 아키텍처 결정입니다. AI 에이전트와 사용자가 동일한 실행 환경을 공유할 때, 실수의 폭발 반경은 사용자의 전체 시스템이 됩니다.

작동하는 아키텍처: 샌드박스 실행

대안은 컨테이너 기반 격리이며, 이는 새로운 아이디어가 아닙니다. E2B(“환경에서 브라우저”의 약자)는 AI 작업 부하를 위한 접근 방식을 개척했습니다: 각 작업에 대해 경량 컨테이너를 생성하고, 에이전트에게 그 컨테이너 내부에서 제한된 실행 환경을 제공하며, 작업이 완료되면 컨테이너를 파괴합니다.

실제로는 다음과 같습니다:

• 작업당 컨테이너. 모든 코드 실행, 모든 스킬 호출, 모든 자율 행동은 각자의 격리된 컨테이너에서 실행됩니다. 컨테이너는 자체 파일 시스템, 네트워크 제한 및 리소스 한계를 가집니다.
• 생성과 파괴. 컨테이너는 작업 기간 동안만 존재합니다. 작업이 끝나면 컨테이너는 삭제됩니다. 실행 간에 지속적인 상태가 누출되지 않습니다. 시간이 지남에 따라 공격 표면이 축적되지 않습니다.
• 호스트 접근 없음. 에이전트는 호스트 파일 시스템을 읽거나 쓸 수 없습니다. 호스트 네트워크에 접근할 수 없습니다. 다른 사용자의 데이터를 볼 수 없습니다. 에이전트가 악성 명령을 실행하면, 피해는 가비지 수집될 컨테이너에 국한됩니다.
• 암호화된 자격 증명 저장. API 키와 비밀은 암호화된 저장소에 존재하며, 런타임에 컨테이너에 주입되고 파괴 시 지워집니다. 사용자의 데스크탑에 평문 구성 파일로 저장되지 않습니다.

이것은 모든 주요 클라우드 제공업체가 다중 테넌트 작업 부하에 대해 사용하는 동일한 격리 모델입니다. AWS Lambda, Google Cloud Run, Cloudflare Workers — 이들은 모두 고객의 코드가 다른 코드에 영향을 미치지 않도록 하기 위해 어떤 형태의 컨테이너 또는 격리 경계를 사용합니다. AI 에이전트 실행에 동일한 원칙을 적용하는 것은 시급합니다.

에이전트 작업 부하에 대한 클라우드 네이티브의 장점

로컬 우선 모델은 매력적인 개인 정보 보호 이야기를 가지고 있습니다: 당신의 데이터는 당신의 하드웨어에 남아 있습니다. 그러나 AI 에이전트 작업 부하에 대해서는, 거래는 클라우드 네이티브 실행에 유리합니다.

로컬 위험 없는 지속적인 작업 공간. 클라우드 작업 공간은 에이전트에게 파일, 대화 기록 및 구성에 대한 지속적인 파일 시스템을 제공합니다. 이 모든 데이터는 당신의 노트북에 존재하지 않습니다. 작업 공간은 세션 간에 유지됩니다. 당신의 로컬 머신은 깨끗하게 유지됩니다.

제로 설정. OpenClaw의 커뮤니티는 작동하는 설정에 3일 이상 걸린다고 보고합니다. 의존성 관리, 권한 구성, 채널 어댑터, 모델 제공자 API 키 관리. 클라우드 네이티브 플랫폼은 이를 브라우저 탭과 이메일 주소로 줄입니다. 클라우드 네이티브 AI 에이전트 플랫폼의 벤치마크는 가입부터 첫 작업 실행까지 60초 이내입니다.

백그라운드 작업 실행. 자율 에이전트는 당신이 지켜보지 않을 때 실행되어야 합니다. 새벽 3시에 이메일을 모니터링하고, 밤새 데이터 파이프라인을 처리하고, 예약된 자동화를 실행합니다. 로컬 에이전트는 항상 켜져 있는 전용 머신이 필요합니다. 클라우드 에이전트는 이를 위해 설계된 인프라에서 실행됩니다.

다중 모델 라우팅. 클라우드 플랫폼은 작업 유형에 따라 다른 LLM으로 작업을 라우팅할 수 있습니다. — 코드에는 Claude, 일반 추론에는 GPT-4, 비용 민감한 작업에는 DeepSeek — 단일 인터페이스를 통해 가능합니다. 네 개의 별도 API 키와 네 개의 별도 청구 계정을 관리할 필요가 없습니다.

정직한 거래: AI 에이전트가 로컬 하드웨어 또는 로컬 전용 소프트웨어와 상호 작용해야 하는 경우, 클라우드 샌드박스는 그에 적합하지 않습니다. 나머지 99%의 에이전트 사용 사례 — 코드 실행, 데이터 처리, 웹 자동화, 이메일 관리, 예약된 작업 — 에 대해서는 클라우드 모델이 보안, 신뢰성 및 운영 오버헤드 측면에서 훨씬 우수합니다.

올바른 스킬 마켓플레이스

ClawHub에는 수천 개의 커뮤니티 제작 스킬이 있습니다. 그리고 그 인기에 비례하는 문서화된 보안 문제가 있습니다. 스킬 레지스트리는 OpenClaw 생태계에서 가장 큰 공격 표면이며, 의도적으로 이렇게 설계되었습니다: 낮은 마찰, 높은 속도, 최소한의 게이트키핑.

검증된 마켓플레이스는 신뢰를 위해 속도를 희생합니다. 모든 스킬은 게시되기 전에 자동 코드 스캔, 샌드박스 테스트 및 인간 검토를 거칩니다. 이는 느립니다. 출시 시 사용할 수 있는 스킬이 줄어듭니다. 그러나 이는 카탈로그에 macOS 스틸러 악성 소프트웨어가 없다는 것을 의미하며, 이는 합리적인 거래처럼 느껴집니다.

수입 경로도 중요합니다. 많은 OpenClaw 사용자가 의존하는 스킬을 구축하거나 사용자 정의했습니다. 책임 있는 대안 플랫폼은 이러한 스킬을 가져올 수 있는 방법을 제공해야 합니다. 동일한 보안 검토 파이프라인을 거친 후에 말이죠. 검증 없이 이주하면 문제를 가져오는 것일 뿐입니다.

비용 예측 가능성: 숨겨진 보안 문제

OpenClaw는 무료 소프트웨어입니다. 그러나 API 비용은 무료가 아닙니다. 사용자들은 예측할 수 없는 월별 API 비용을 보고하며, 내장된 지출 통제가 없습니다.

이것은 단순한 예산 문제뿐만 아니라 보안 문제이기도 합니다. 손상된 에이전트로 인한 비용 증가, 루프에서 비싼 모델 호출을 유발하는 프롬프트 주입 공격, 의도적으로 토큰을 소모하는 악성 스킬 등은 모두 비용 가드레일의 부재를 악용하는 공격 벡터입니다.

사용량 한도가 있는 고정 가격 계층은 이를 직접적으로 해결합니다. 샌드박스 실행에 대한 엄격한 제한, 사용자에게 보이는 토큰 사용 추적, 한도에 근접할 때 자동으로 조절되는 기능. 사용자는 지불하기 전에 자신이 지불할 금액을 알고 있습니다. 그리고 공격자는 청구 시스템을 무기화할 수 없습니다.

앞으로의 방향

에이전틱 AI 시장은 빠르게 성장하고 있습니다, 그리고 그 성장은 에이전트가 사용자의 머신에 무제한 접근할 수 있고 스킬 마켓플레이스가 검증되지 않은 악성 소프트웨어 배급 채널인 아키텍처에서는 이루어지지 않을 것입니다.

샌드박스 실행으로의 전환은 이미 진행 중입니다. E2B는 AI 에이전트 플랫폼을 위한 표준 빌딩 블록이 되고 있습니다. Cloudflare는 OpenClaw를 컨테이너화된 환경에서 실행하기 위해 Moltworker를 특별히 구축했습니다. 커뮤니티 포크인 NanoClaw는 보안을 위해 Apple 컨테이너에서 실행됩니다. 생태계는 기능이 아닌 요구 사항으로 격리에 수렴하고 있습니다.

OpenClaw는 시장을 입증했습니다. 차세대 AI 에이전트 플랫폼은 코드 실행, 자율 행동, 다중 모델 접근, 확장 가능한 스킬을 실제로 유지할 수 있는 보안 경계 내에서 제공할 수 있는지에 따라 정의될 것입니다.

우리는 LikeClaw를 그런 플랫폼으로 구축했습니다. 샌드박스 실행, 검증된 스킬, 예측 가능한 가격, 제로 설정. 이것이 실제로 어떻게 보이는지 보고 싶다면, 코드 실행 사용 사례가 좋은 출발점입니다.

AI 에이전트의 미래는 자율적입니다. 또한 샌드박스화되어 있습니다. 이 두 가지는 경쟁하는 아이디어가 아닙니다. 서로의 전제 조건입니다.