샌드박스 베팅

2026년 1월 25일: 베팅

LikeClaw를 구축한 지 두 달 만에, 우리는 제품을 정의할 결정을 내렸습니다. 우리는 모든 것을 E2B 샌드박스 실행에 베팅했습니다.

그 시점까지, 우리의 AI 에이전트는 상대적으로 전통적인 방식으로 작업을 수행했습니다. 그 이후로는 모든 작업 — 모든 코드 실행, 모든 파일 작업, 모든 백그라운드 작업 — 이 격리된 E2B 샌드박스 컨테이너 내에서 실행되었습니다.

이것은 우리가 추가한 보안 기능이 아니었습니다. 전체 플랫폼의 작동 방식을 변화시킨 근본적인 아키텍처 결정이었습니다. 그리고 이것은 우리가 내린 최고의 결정이었습니다.

샌드박싱이 가장 중요한 이유

2026년 초 AI 에이전트 환경을 살펴보세요. 한 가지 패턴이 어디에서나 반복됩니다: 사용자들이 AI 에이전트에게 자신의 기계에 대한 무제한 접근을 허용하는 것입니다.

OpenClaw는 여러분의 로컬 시스템에서 실행됩니다. 여러분의 파일을 읽습니다. 여러분의 권한으로 코드를 실행합니다. API 키를 평문으로 저장합니다. 보안 연구자들은 플랫폼과 그 마켓플레이스에서 광범위한 취약점을 문서화하여 여러 보안 기관으로부터 경고를 받았습니다.

근본적인 원인은 OpenClaw가 잘못 작성되었기 때문이 아닙니다. 아키텍처가 근본적으로 안전하지 않기 때문입니다. AI 에이전트에게 시스템에 대한 원시 접근을 허용하면, AI, 기술 작성자, 프롬프트 주입 공격에 의한 실수는 무제한의 피해를 초래할 수 있습니다. 하나의 잘못된 기술이 여러분의 기계에 악성 코드를 설치할 수 있습니다. 하나의 프롬프트 주입이 여러분의 SSH 키를 읽을 수 있습니다. 하나의 환각된 명령이 여러분의 파일을 삭제할 수 있습니다.

샌드박싱은 모든 위험 범주를 제거합니다.

우리의 샌드박스 작동 방식

LikeClaw에서 작업을 실행할 때, 다음과 같은 일이 발생합니다:

새로운 샌드박스가 생성됩니다. 격리된 E2B 컨테이너가 2초 이내에 생성됩니다. 자체 파일 시스템, 프로세스 공간, 네트워크를 가지고 있습니다. 다른 모든 샌드박스 및 다른 모든 사용자와 완전히 격리되어 있습니다.

작업 공간 파일이 동기화됩니다. 여러분의 작업 공간에 있는 파일이 샌드박스로 복사됩니다. AI는 이를 읽고, 수정하고, 새로운 파일을 생성할 수 있습니다. 하지만 샌드박스 내에서만 가능합니다.

AI가 작업을 실행합니다. 샌드박스 내에서 AI는 모든 기능을 갖추고 있습니다. 코드를 실행하고, 패키지를 설치하고, 네트워크 요청을 하고, 파일을 읽고 쓸 수 있습니다. 완전한 기능을 갖춘 환경입니다. 차이점은 “완전한 기능"이 여러분의 기계가 아닌 샌드박스를 의미한다는 것입니다.

결과가 다시 동기화됩니다. 작업이 완료되면, AI가 생성하거나 수정한 파일이 우리의 암호화된 저장소에 있는 여러분의 작업 공간으로 다시 동기화됩니다.

샌드박스가 파괴됩니다. 사라집니다. 모든 프로세스가 종료됩니다. 모든 파일이 삭제됩니다. 모든 네트워크 연결이 닫힙니다. 아무것도 지속되지 않습니다. 아무것도 유출되지 않습니다. 아무것도 남지 않습니다.

AI가 잘못된 작업을 수행하면 — 악성 코드를 실행하거나, 프롬프트 주입을 따르거나, 잘못된 기술을 실행하면 — 피해는 몇 초 안에 파괴될 샌드박스에 국한됩니다. 여러분의 기계, 파일, API 키, 자격 증명은 결코 위험에 처하지 않습니다.

엔지니어링 도전 과제

샌드박싱은 간단하게 들립니다. “그냥 컨테이너에서 실행하세요.” 하지만 실제로는 전체 프로젝트에서 가장 복잡한 엔지니어링 도전 과제였습니다.

파일 동기화. 사용자들은 샌드박스 내에 파일이 필요하고, AI의 출력이 다시 작업 공간으로 돌아와야 합니다. 이 양방향 동기화는 빠르고, 신뢰할 수 있어야 하며, 충돌을 처리해야 합니다. 우리는 양쪽 방향의 변경 사항을 감시하는 VFS(가상 파일 시스템) 동기화 계층을 구축했습니다.

백그라운드 작업 실행. 예약된 작업도 샌드박스에서 실행됩니다. 오전 3시에 실행되는 작업은 샌드박스를 생성하고, 파일을 동기화하고, 실행하고, 결과를 다시 동기화하고, 정리해야 합니다 — 사용자가 온라인에 없을 때도 말이죠.

성능. 샌드박스 생성은 지연을 추가합니다. 우리는 시작 시간을 2초 이내로 최적화했습니다. 사용자들은 거의 알아차리지 못합니다. 하지만 이를 위해서는 신중한 템플릿 관리, 지연 초기화 및 사전 준비 전략이 필요했습니다.

비용. 각 샌드박스는 컴퓨팅 자원을 소모합니다. 우리는 보안(항상 샌드박스)과 경제성(샌드박스는 비용이 듭니다) 사이의 균형을 맞춰야 했습니다. 그 답은 계층별 샌드박스 한도였습니다 — 무료 사용자는 정해진 수의 실행을, 프로 사용자는 더 많은 실행을, 파워 사용자는 무제한 실행을 받습니다.

선을 긋다

보안에 대한 한 가지 사실은: 절반만 할 수 없습니다.

일부 작업은 샌드박스에서 실행하고 다른 작업은 그렇지 않을 수 없습니다. 무료 사용자에게는 샌드박스를 적용하고 유료 사용자에게는 원시 실행을 허용할 수 없습니다. 코드 실행은 샌드박스에서 하고 파일 접근은 그렇지 않을 수 없습니다. 샌드박스 모델의 어떤 간극도 공격 벡터가 됩니다.

그래서 우리는 선을 그었습니다: 모든 것이 샌드박스에서 실행됩니다. 예외는 없습니다. 탈출구는 없습니다. 격리를 우회하는 “전문가 모드"는 없습니다.

이것은 일부 작업이 로컬에서 실행하는 것보다 약간 느릴 수 있음을 의미합니다. 이것은 일부 작업이 추가 단계(파일 동기화)를 요구할 수 있음을 의미합니다. 이것은 우리가 로컬 AI 에이전트가 제공하는 “전체 기계 접근"을 제공할 수 없음을 의미합니다.

우리는 그 점에 대해 괜찮습니다. 왜냐하면 우리는 악성 코드 설치, 자격 증명 도용, 시스템 손상을 제공할 수 없기 때문입니다. 우리 사용자들도 마찬가지입니다.

0개의 악성 기술. 0개의 손상된 시스템. 0개의 보안 사고.

이것이 샌드박스 베팅입니다. 그리고 그 결과가 나타나고 있습니다.