Agent containment๋Š” AI agent๊ฐ€ ์‹ค์ œ ํŒŒ์ผ, ์ฝ”๋“œ, ๋„คํŠธ์›Œํฌ, ์—…๋ฌด ๋„๊ตฌ์— ์ ‘๊ทผํ•  ๋•Œ ํ”ผํ•ด ๋ฒ”์œ„๋ฅผ ๋ฏธ๋ฆฌ ์ขํ˜€ ๋‘๋Š” ๋ณด์•ˆ ์„ค๊ณ„์ž…๋‹ˆ๋‹ค. Agent๊ฐ€ ๋˜‘๋˜‘ํ•ด์งˆ์ˆ˜๋ก ํ•  ์ˆ˜ ์žˆ๋Š” ์ผ๋„ ๋Š˜์–ด๋‚˜์ง€๋งŒ, ์‹ค์ˆ˜ยท์˜ค์šฉยท๊ณต๊ฒฉ์ด ๋‚ฌ์„ ๋•Œ ๋ง๊ฐ€์งˆ ์ˆ˜ ์žˆ๋Š” ๋ฒ”์œ„๋„ ์ปค์ง‘๋‹ˆ๋‹ค. Containment๋Š” ์ด ๋ฒ”์œ„๋ฅผ ๋ชจ๋ธ์˜ ์„ ์˜๋‚˜ ์‚ฌ์šฉ์ž์˜ ๋งค๋ฒˆ ์Šน์ธ์—๋งŒ ๋งก๊ธฐ์ง€ ์•Š๊ณ , ์‹คํ–‰ ํ™˜๊ฒฝ๊ณผ ๊ถŒํ•œ ๊ฒฝ๊ณ„๋กœ ์ œํ•œํ•˜๋ ค๋Š” ์ ‘๊ทผ์ž…๋‹ˆ๋‹ค.

ํ•œ ์ค„๋กœ ๋งํ•˜๋ฉด

Agent containment๋Š” agent๊ฐ€ ๋ฌด์—‡์„ ํ•  ์ˆ˜ ์žˆ๋Š”์ง€๋ณด๋‹ค, ๋ฌธ์ œ๊ฐ€ ์ƒ๊ฒผ์„ ๋•Œ ์–ด๋””๊นŒ์ง€๋ฐ–์— ๋ชป ํ•˜๊ฒŒ ๋ง‰์„ ๊ฒƒ์ธ์ง€๋ถ€ํ„ฐ ์„ค๊ณ„ํ•˜๋Š” ๋ฐฉ์‹์ž…๋‹ˆ๋‹ค.

๋น„์œ ๋กœ ์ดํ•ดํ•˜๊ธฐ

์‹คํ—˜์‹ค์—์„œ ์œ„ํ—˜ํ•œ ๋ฌผ์งˆ์„ ๋‹ค๋ฃฐ ๋•Œ ์—ฐ๊ตฌ์ž๋ฅผ ๊ณ„์† ๊ฐ์‹œํ•˜๋Š” ๊ฒƒ๋งŒ์œผ๋กœ๋Š” ๋ถ€์กฑํ•ฉ๋‹ˆ๋‹ค. ์‹คํ—˜๋Œ€, ๋ณดํ˜ธ ์žฅ๋น„, ๋ฐ€ํ ์žฅ์น˜, ๋ฐฐ๊ธฐ ์‹œ์Šคํ…œ, ์ถœ์ž… ๊ถŒํ•œ์ฒ˜๋Ÿผ ์‚ฌ๊ณ ๊ฐ€ ๋‚˜๋„ ๋ฐ–์œผ๋กœ ๋ฒˆ์ง€์ง€ ์•Š๊ฒŒ ํ•˜๋Š” ๊ตฌ์กฐ๊ฐ€ ํ•„์š”ํ•ฉ๋‹ˆ๋‹ค.

Agent containment๋„ ๋น„์Šทํ•ฉ๋‹ˆ๋‹ค.

  • agent๊ฐ€ ์ฝ”๋“œ๋ฅผ ์‹คํ–‰ํ•˜๋Š” ๊ณต๊ฐ„์„ sandbox๋‚˜ VM์œผ๋กœ ์ œํ•œํ•ฉ๋‹ˆ๋‹ค.
  • ํŒŒ์ผ ์ ‘๊ทผ์€ ํ—ˆ์šฉ๋œ ์ž‘์—… ํด๋” ์•ˆ์œผ๋กœ ์ขํž™๋‹ˆ๋‹ค.
  • ๋„คํŠธ์›Œํฌ๋Š” ํ•„์š”ํ•œ ๋ชฉ์ ์ง€์™€ ๊ธฐ๋Šฅ๋งŒ ์—ด์–ด ๋‘ก๋‹ˆ๋‹ค.
  • credential์€ agent๊ฐ€ ์ง์ ‘ ์ฝ์„ ์ˆ˜ ์žˆ๋Š” ๊ณณ์— ๋‘์ง€ ์•Š์Šต๋‹ˆ๋‹ค.
  • ์™ธ๋ถ€ ๋„๊ตฌ๋Š” ์ฝ๊ธฐ ์ „์šฉ, ์“ฐ๊ธฐ ๊ฐ€๋Šฅ, ์Šน์ธ ํ•„์š” ๊ฐ™์€ ๊ถŒํ•œ์œผ๋กœ ๋‚˜๋ˆ•๋‹ˆ๋‹ค.

๋น„์œ ์˜ ํ•œ๊ณ„๋„ ์žˆ์Šต๋‹ˆ๋‹ค. ๋ฌผ๋ฆฌ ์‹คํ—˜์‹ค์˜ ๋ฒฝ์€ ๋ˆˆ์— ๋ณด์ด์ง€๋งŒ, agent containment์˜ ๋ฒฝ์€ ํŒŒ์ผ ์‹œ์Šคํ…œ, ๋„คํŠธ์›Œํฌ egress, tool proxy, session token, sandbox runtime ๊ฐ™์€ ์†Œํ”„ํŠธ์›จ์–ด ๊ฒฝ๊ณ„์ž…๋‹ˆ๋‹ค. ๊ทธ๋ž˜์„œ โ€œ๋ง‰์•˜๋‹คโ€๊ณ  ์ƒ๊ฐํ•œ ๊ฒฝ๊ณ„๊ฐ€ ์‹ค์ œ๋กœ ์–ด๋–ค ๊ธฐ๋Šฅ๊นŒ์ง€ ํ—ˆ์šฉํ•˜๋Š”์ง€ ๊ณ„์† ๊ฒ€์ฆํ•ด์•ผ ํ•ฉ๋‹ˆ๋‹ค.

์ •ํ™•ํ•œ ์ •์˜

Agent containment๋Š” LLM agent์˜ ํ–‰๋™ ๊ฐ€๋Šฅ ๋ฒ”์œ„๋ฅผ ์‹œ์Šคํ…œ์ ์œผ๋กœ ์ œํ•œํ•ด, ์‹คํŒจ๋‚˜ ๊ณต๊ฒฉ์ด ๋ฐœ์ƒํ–ˆ์„ ๋•Œ ํ”ผํ•ด๊ฐ€ ์ •ํ•ด์ง„ ๊ฒฝ๊ณ„ ์•ˆ์— ๋จธ๋ฌผ๋„๋ก ๋งŒ๋“œ๋Š” ๋ณด์•ˆยท์šด์˜ ์„ค๊ณ„์ž…๋‹ˆ๋‹ค.

Anthropic์€ Claude ์ œํ’ˆ๊ตฐ์˜ containment๋ฅผ ์„ค๋ช…ํ•˜๋ฉด์„œ ํฌ๊ฒŒ ๋‘ ์ ‘๊ทผ์„ ๊ตฌ๋ถ„ํ•ฉ๋‹ˆ๋‹ค.

  1. ํ–‰๋™ ๊ฐ๋…: agent๊ฐ€ ์–ด๋–ค ํ–‰๋™์„ ํ•˜๋ ค ํ•  ๋•Œ ์‚ฌ๋žŒ์—๊ฒŒ ์Šน์ธ๋ฐ›๊ฒŒ ํ•ฉ๋‹ˆ๋‹ค.
  2. ํ™˜๊ฒฝ ์ œํ•œ: agent๊ฐ€ ์• ์ดˆ์— ์ ‘๊ทผํ•  ์ˆ˜ ์žˆ๋Š” ํŒŒ์ผ, ๋„คํŠธ์›Œํฌ, credential, ์‹คํ–‰ ํ™˜๊ฒฝ์„ ์ œํ•œํ•ฉ๋‹ˆ๋‹ค.

์ค‘์š”ํ•œ ์ฐจ์ด๋Š” ๋‘ ๋ฒˆ์งธ์ž…๋‹ˆ๋‹ค. ์‚ฌ๋žŒ์ด ๋งค๋ฒˆ ์Šน์ธํ•˜์ง€ ์•Š์•„๋„, agent๊ฐ€ ์ ‘๊ทผํ•  ์ˆ˜ ์—†๋Š” ๊ฒƒ์€ ์‹คํ–‰ํ•  ์ˆ˜ ์—†์Šต๋‹ˆ๋‹ค. ์˜ˆ๋ฅผ ๋“ค์–ด credential์ด sandbox ์•ˆ์— ๋“ค์–ด์˜ค์ง€ ์•Š์œผ๋ฉด, prompt injection์ด ์„ฑ๊ณตํ•˜๋”๋ผ๋„ agent๊ฐ€ ๊ทธ credential์„ ์ฝ์–ด ์™ธ๋ถ€๋กœ ๋ณด๋‚ด๊ธฐ ์–ด๋ ต์Šต๋‹ˆ๋‹ค.

Containment๋Š” ๋ณดํ†ต ๋‹ค์Œ ์š”์†Œ๋ฅผ ํ•จ๊ป˜ ์”๋‹ˆ๋‹ค.

์š”์†Œํ•˜๋Š” ์ผ์™œ ํ•„์š”ํ•œ๊ฐ€
Sandbox / VM์‹คํ–‰ ํ™˜๊ฒฝ์„ ๊ฒฉ๋ฆฌuntrusted code๊ฐ€ host ์ „์ฒด์— ์ ‘๊ทผํ•˜์ง€ ๋ชปํ•˜๊ฒŒ ํ•จ
Filesystem boundary์ฝ๊ธฐยท์“ฐ๊ธฐ ๊ฐ€๋Šฅํ•œ ๊ฒฝ๋กœ ์ œํ•œ๋ฏผ๊ฐํ•œ ํŒŒ์ผ์ด๋‚˜ ์ž‘์—… ๋ฐ– ๋ฐ์ดํ„ฐ ๋…ธ์ถœ์„ ์ค„์ž„
Egress control๋‚˜๊ฐˆ ์ˆ˜ ์žˆ๋Š” ๋„คํŠธ์›Œํฌ ์ œํ•œ๋ฐ์ดํ„ฐ ์œ ์ถœ๊ณผ ์ž„์˜ ์™ธ๋ถ€ ํ˜ธ์ถœ์„ ์ค„์ž„
Credential separation๋น„๋ฐ€๊ฐ’์„ sandbox ๋ฐ–์— ๋‘ agent๊ฐ€ ํ† ํฐ์„ ์ง์ ‘ ์ฝ์ง€ ๋ชปํ•˜๊ฒŒ ํ•จ
Tool permission๋„๊ตฌ๋ณ„ ๊ถŒํ•œ์„ ์„ธ๋ถ„ํ™”์ฝ๊ธฐ์™€ ์“ฐ๊ธฐ, ์กฐํšŒ์™€ ์‹คํ–‰์„ ๊ตฌ๋ถ„ํ•จ
Audit trailํ–‰๋™ ๊ธฐ๋ก์„ ๋ณด์กด์‚ฌํ›„ ์ถ”์ ๊ณผ ๊ฐœ์„ ์„ ๊ฐ€๋Šฅํ•˜๊ฒŒ ํ•จ

์™œ ์ค‘์š”ํ•œ๊ฐ€

1. Agent์˜ ๋Šฅ๋ ฅ์ด ์ปค์งˆ์ˆ˜๋ก blast radius๋„ ์ปค์ง„๋‹ค

์งง์€ ๋‹ต๋ณ€๋งŒ ๋งŒ๋“œ๋Š” ์ฑ—๋ด‡์€ ํ‹€๋ฆฐ ๋‹ต์„ ํ•  ์ˆ˜๋Š” ์žˆ์–ด๋„, ๋ณดํ†ต ์ง์ ‘ ํŒŒ์ผ์„ ์ง€์šฐ๊ฑฐ๋‚˜ ๋ฐฐํฌ๋ฅผ ๋ฐ”๊พธ์ง€๋Š” ์•Š์Šต๋‹ˆ๋‹ค. ํ•˜์ง€๋งŒ coding agent, research agent, ์—…๋ฌด ์ž๋™ํ™” agent๋Š” shell, repository, browser, database, API, ์‚ฌ๋‚ด ๋„๊ตฌ์— ์ ‘๊ทผํ•  ์ˆ˜ ์žˆ์Šต๋‹ˆ๋‹ค.

์ด๋•Œ ์œ„ํ—˜์€ โ€œagent๊ฐ€ ๋‚˜์œ ์˜๋„๋ฅผ ๊ฐ€์กŒ๋Š”๊ฐ€โ€๋งŒ์˜ ๋ฌธ์ œ๊ฐ€ ์•„๋‹™๋‹ˆ๋‹ค. ์‚ฌ์šฉ์ž๊ฐ€ ์ž˜๋ชป๋œ ์š”์ฒญ์„ ํ•  ์ˆ˜ ์žˆ๊ณ , ๋ชจ๋ธ์ด ์ƒํ™ฉ์„ ์ž˜๋ชป ์ดํ•ดํ•  ์ˆ˜ ์žˆ์œผ๋ฉฐ, ์™ธ๋ถ€ ๋ฌธ์„œ๋‚˜ ํŒŒ์ผ์— ์ˆจ์€ prompt injection์ด agent๋ฅผ ์†์ผ ์ˆ˜ ์žˆ์Šต๋‹ˆ๋‹ค. Containment๋Š” ์ด๋Ÿฐ ์ผ์ด ์ƒ๊ฒจ๋„ ํ”ผํ•ด๊ฐ€ ์ „์ฒด ์‹œ์Šคํ…œ์œผ๋กœ ๋ฒˆ์ง€์ง€ ์•Š๋„๋ก ์ข์€ ๋ฐฉ ์•ˆ์— ๊ฐ€๋‘๋Š” ์„ค๊ณ„์ž…๋‹ˆ๋‹ค.

2. ์‚ฌ๋žŒ ์Šน์ธ๋งŒ์œผ๋กœ๋Š” ๋ถ€์กฑํ•  ์ˆ˜ ์žˆ๋‹ค

์‚ฌ๋žŒ์—๊ฒŒ ๋งค๋ฒˆ โ€œ์ด ๋ช…๋ น์„ ํ—ˆ์šฉํ• ๊นŒ์š”?โ€๋ผ๊ณ  ๋ฌป๋Š” ๋ฐฉ์‹์€ ์ง๊ด€์ ์ž…๋‹ˆ๋‹ค. ํ•˜์ง€๋งŒ ์Šน์ธ ์š”์ฒญ์ด ๋งŽ์•„์งˆ์ˆ˜๋ก ์‚ฌ๋žŒ์€ ํ”ผ๋กœํ•ด์ง€๊ณ , ์œ„ํ—˜ํ•œ ๋ช…๋ น์„ ์ฝ์ง€ ์•Š๊ณ  ํ—ˆ์šฉํ•  ์ˆ˜ ์žˆ์Šต๋‹ˆ๋‹ค. ๋˜ํ•œ ๋น„๊ฐœ๋ฐœ์ž ์‚ฌ์šฉ์ž๋Š” shell ๋ช…๋ น์ด๋‚˜ ๋„คํŠธ์›Œํฌ ์š”์ฒญ์˜ ์œ„ํ—˜์„ ์ •ํ™•ํžˆ ํŒ๋‹จํ•˜๊ธฐ ์–ด๋ ต์Šต๋‹ˆ๋‹ค.

๊ทธ๋ž˜์„œ containment๋Š” ์‚ฌ๋žŒ์˜ ์ฃผ์˜๋ ฅ์—๋งŒ ์˜์กดํ•˜์ง€ ์•Š์Šต๋‹ˆ๋‹ค. ์œ„ํ—˜ํ•œ ํŒŒ์ผ์€ ๋ณด์ด์ง€ ์•Š๊ฒŒ ํ•˜๊ณ , ์™ธ๋ถ€ ์ „์†ก์€ ๋ง‰๊ณ , credential์€ ๋ฐ–์— ๋‘๋ฉฐ, ํŠน์ • ๋„๊ตฌ๋Š” read-only๋กœ ์ œํ•œํ•ฉ๋‹ˆ๋‹ค. ์ข‹์€ agent ์ œํ’ˆ์€ โ€œ์‚ฌ์šฉ์ž๊ฐ€ ์กฐ์‹ฌํ•˜๋ฉด ์•ˆ์ „ํ•˜๋‹คโ€๋ณด๋‹ค โ€œ์‚ฌ์šฉ์ž๊ฐ€ ๋†“์ณ๋„ ๊ธฐ๋ณธ ๊ฒฝ๊ณ„๊ฐ€ ๋ฒ„ํ‹ด๋‹คโ€์— ๊ฐ€๊นŒ์›Œ์•ผ ํ•ฉ๋‹ˆ๋‹ค.

3. ์Šน์ธ๋œ ๋„๋ฉ”์ธ๋„ ๊ณต๊ฒฉ ํ‘œ๋ฉด์ด ๋  ์ˆ˜ ์žˆ๋‹ค

๋„คํŠธ์›Œํฌ egress allowlist๋Š” ํ”ํ•œ ๋ฐฉ์–ด์ž…๋‹ˆ๋‹ค. ํ•˜์ง€๋งŒ โ€œ์ด ๋„๋ฉ”์ธ์€ ํ—ˆ์šฉโ€์ด๋ผ๋Š” ๋ง์€ ๊ทธ ๋„๋ฉ”์ธ์—์„œ ์ œ๊ณตํ•˜๋Š” ๋ชจ๋“  ๊ธฐ๋Šฅ์„ ํ—ˆ์šฉํ•œ๋‹ค๋Š” ๋œป์ด ๋  ์ˆ˜ ์žˆ์Šต๋‹ˆ๋‹ค. Anthropic์˜ ์‚ฌ๋ก€์ฒ˜๋Ÿผ ํ—ˆ์šฉ๋œ API ๋„๋ฉ”์ธ์„ ํ†ตํ•ด ํŒŒ์ผ ์—…๋กœ๋“œ ๊ธฐ๋Šฅ์ด ์—ด๋ ค ์žˆ๋‹ค๋ฉด, ๋ชฉ์ ์ง€๋Š” ๋งž์•„๋„ ๋ฐ์ดํ„ฐ ์œ ์ถœ์ด ์ผ์–ด๋‚  ์ˆ˜ ์žˆ์Šต๋‹ˆ๋‹ค.

๋”ฐ๋ผ์„œ containment๋Š” ๋ชฉ์ ์ง€ ์ฃผ์†Œ๋งŒ ๋ณด์ง€ ๋ง๊ณ  ์–ด๋–ค capability๋ฅผ ํ—ˆ์šฉํ•˜๋Š”๊ฐ€๋ฅผ ๋ด์•ผ ํ•ฉ๋‹ˆ๋‹ค. ํŒŒ์ผ ์—…๋กœ๋“œ, ์„œ๋ฒ„ ์ธก fetch, write API, ์™ธ๋ถ€ ๊ณ„์ • token ์‚ฌ์šฉ์ฒ˜๋Ÿผ ์‹ค์ œ ๊ธฐ๋Šฅ ๋‹จ์œ„๋กœ ์œ„ํ—˜์„ ๋‚˜๋ˆ ์•ผ ํ•ฉ๋‹ˆ๋‹ค.

์‹ค์ œ ์˜ˆ์‹œ

Claude Code์‹ sandbox

๊ฐœ๋ฐœ์ž์šฉ coding agent๋Š” repository, shell, package manager์— ์ ‘๊ทผํ•ด์•ผ ์“ธ๋ชจ๊ฐ€ ์žˆ์Šต๋‹ˆ๋‹ค. ํ•˜์ง€๋งŒ ๋ชจ๋“  ๋ช…๋ น์„ ๋ฌด์ œํ•œ์œผ๋กœ ํ—ˆ์šฉํ•˜๋ฉด ์œ„ํ—˜ํ•ฉ๋‹ˆ๋‹ค. ๊ทธ๋ž˜์„œ workspace ์•ˆ์˜ ์“ฐ๊ธฐ๋Š” ํ—ˆ์šฉํ•˜๋˜, ๋„คํŠธ์›Œํฌ๋Š” ๊ธฐ๋ณธ ์ฐจ๋‹จํ•˜๊ฑฐ๋‚˜, ์œ„ํ—˜ํ•œ ๋ช…๋ น์€ ์Šน์ธ ์š”๊ตฌ๋กœ ๋Œ๋ฆฌ๋Š” ์‹์˜ ๊ฒฝ๊ณ„๊ฐ€ ํ•„์š”ํ•ฉ๋‹ˆ๋‹ค.

์ด ๊ตฌ์กฐ์—์„œ๋Š” agent๊ฐ€ ๊ณ„์† ์ž‘์—…ํ•  ์ˆ˜ ์žˆ์ง€๋งŒ, host ์ „์ฒด ํŒŒ์ผ์ด๋‚˜ ์™ธ๋ถ€ ๋„คํŠธ์›Œํฌ๋กœ ํ”ผํ•ด๊ฐ€ ๋ฒˆ์ง€๋Š” ๊ฒƒ์„ ์ค„์ผ ์ˆ˜ ์žˆ์Šต๋‹ˆ๋‹ค.

์žฅ๊ธฐ ์‹คํ–‰ managed agent

Managed agents์—์„œ๋Š” brain, hands, session์„ ๋ถ„๋ฆฌํ•ฉ๋‹ˆ๋‹ค. ์—ฌ๊ธฐ์„œ hands๋Š” ์‹ค์ œ ์ฝ”๋“œ ์‹คํ–‰๊ณผ ๋„๊ตฌ ํ˜ธ์ถœ์ด ์ผ์–ด๋‚˜๋Š” ์˜์—ญ์ž…๋‹ˆ๋‹ค. ์ด hands๋ฅผ sandbox๋‚˜ VM์œผ๋กœ ๊ฒฉ๋ฆฌํ•˜๊ณ , credential์€ ๋ณ„๋„ proxy๋‚˜ vault ๊ฒฝ๋กœ๋กœ ๋‹ค๋ฃจ๋ฉด agent runtime์€ ๋” ์˜ค๋ž˜ ์‹คํ–‰๋˜๋ฉด์„œ๋„ ๊ถŒํ•œ ๊ฒฝ๊ณ„๋ฅผ ์œ ์ง€ํ•  ์ˆ˜ ์žˆ์Šต๋‹ˆ๋‹ค.

์ด ๊ด€์ ์—์„œ containment๋Š” Loop engineering์˜ ํ•˜์œ„ ๋ณด์•ˆ ์กฐ๊ฑด์ž…๋‹ˆ๋‹ค. loop๊ฐ€ ๊ธธ์–ด์งˆ์ˆ˜๋ก ์žฌ์‹œ๋„, ๋„๊ตฌ ํ˜ธ์ถœ, session ๋ณต๊ตฌ๊ฐ€ ๋งŽ์•„์ง€๋ฏ€๋กœ, ์‹คํ–‰ ๊ฒฝ๊ณ„๊ฐ€ ํ๋ ค์ง€๋ฉด ์ž‘์€ ์˜ค๋ฅ˜๊ฐ€ ํฐ ์‚ฌ๊ณ ๋กœ ์ปค์งˆ ์ˆ˜ ์žˆ์Šต๋‹ˆ๋‹ค.

์—…๋ฌด ๋„๊ตฌ์™€ ์—ฐ๊ฒฐ๋œ agent

agent๊ฐ€ CRM, ์ด๋ฉ”์ผ, ๋ฌธ์„œ, ๊ฒฐ์ œ, ๋ฐฐํฌ ์‹œ์Šคํ…œ์— ์—ฐ๊ฒฐ๋œ๋‹ค๋ฉด ๊ถŒํ•œ์„ ๋” ์„ธ๋ฐ€ํ•˜๊ฒŒ ๋‚˜๋ˆ ์•ผ ํ•ฉ๋‹ˆ๋‹ค. ๊ณ ๊ฐ ์ •๋ณด๋ฅผ ์กฐํšŒํ•˜๋Š” ๊ถŒํ•œ๊ณผ ์ˆ˜์ •ํ•˜๋Š” ๊ถŒํ•œ์€ ๋‹ค๋ฅด๊ณ , ์ดˆ์•ˆ ์ž‘์„ฑ๊ณผ ์‹ค์ œ ๋ฐœ์†ก๋„ ๋‹ค๋ฆ…๋‹ˆ๋‹ค. Containment๋Š” ์ด๋Ÿฐ ์ฐจ์ด๋ฅผ tool permission๊ณผ ์Šน์ธ ์ ˆ์ฐจ๋กœ ๋ฐ˜์˜ํ•ฉ๋‹ˆ๋‹ค.

ํ—ท๊ฐˆ๋ฆฌ์ง€ ๋ง์•„์•ผ ํ•  ์ 

  • Containment๋Š” ๋ชจ๋ธ ์•ˆ์ „์„ฑ์˜ ๋Œ€์ฒด๋ฌผ์ด ์•„๋‹™๋‹ˆ๋‹ค. ๋ชจ๋ธ์ด ๋” ์•ˆ์ „ํ•˜๊ฒŒ ํ–‰๋™ํ•˜๋„๋ก ํ›ˆ๋ จํ•˜๋Š” ์ผ์€ ์ค‘์š”ํ•ฉ๋‹ˆ๋‹ค. ๋‹ค๋งŒ ๋ชจ๋ธ ๋ฐฉ์–ด๋Š” ํ™•๋ฅ ์ ์ด๋ฏ€๋กœ, ํ™˜๊ฒฝ ๊ฒฝ๊ณ„๊ฐ€ ํ•จ๊ป˜ ํ•„์š”ํ•ฉ๋‹ˆ๋‹ค.
  • Sandbox๊ฐ€ ์žˆ์œผ๋ฉด ์™„์ „ํžˆ ์•ˆ์ „ํ•˜๋‹ค๋Š” ๋œป๋„ ์•„๋‹™๋‹ˆ๋‹ค. Sandbox ์„ค์ •, mount ๊ฒฝ๋กœ, symlink ์ฒ˜๋ฆฌ, egress proxy, tool ๊ถŒํ•œ ์„ค๊ณ„๊ฐ€ ์ž˜๋ชป๋˜๋ฉด ๊ฒฝ๊ณ„๊ฐ€ ๋šซ๋ฆด ์ˆ˜ ์žˆ์Šต๋‹ˆ๋‹ค.
  • Human-in-the-loop๋Š” containment์™€ ๊ฐ™์€ ๋ง์ด ์•„๋‹™๋‹ˆ๋‹ค. ์‚ฌ๋žŒ ์Šน์ธ์€ ํ–‰๋™ ๊ฐ๋…์ด๊ณ , containment๋Š” agent๊ฐ€ ์ ‘๊ทผ ๊ฐ€๋Šฅํ•œ ํ™˜๊ฒฝ ์ž์ฒด๋ฅผ ์ œํ•œํ•˜๋Š” ์ชฝ์— ๊ฐ€๊น์Šต๋‹ˆ๋‹ค.
  • Allowlist๋Š” ๋ชฉ์ ์ง€๊ฐ€ ์•„๋‹ˆ๋ผ capability ๊ธฐ์ค€์œผ๋กœ ๋ด์•ผ ํ•ฉ๋‹ˆ๋‹ค. ํ—ˆ์šฉ๋œ ๋„๋ฉ”์ธ์ด๋ผ๋„ ํŒŒ์ผ ์—…๋กœ๋“œ๋‚˜ ์™ธ๋ถ€ ๊ณ„์ • token ์‚ฌ์šฉ ๊ฐ™์€ ๊ธฐ๋Šฅ์€ ๋ณ„๋„์˜ ๊ณต๊ฒฉ ํ‘œ๋ฉด์ž…๋‹ˆ๋‹ค.
  • Containment์™€ ๊ฐ์‚ฌ ๊ฐ€๋Šฅ์„ฑ์€ ํ•จ๊ป˜ ๊ฐ€์•ผ ํ•ฉ๋‹ˆ๋‹ค. ๊ฒฝ๊ณ„๋ฅผ ๋งŒ๋“ค์—ˆ๋”๋ผ๋„ ์–ด๋–ค ์ž…๋ ฅ, ๊ถŒํ•œ, tool call์ด ๊ฒฐ๊ณผ๋ฅผ ๋งŒ๋“ค์—ˆ๋Š”์ง€ ๋‚จ์ง€ ์•Š์œผ๋ฉด ์‚ฌํ›„ ๊ฐœ์„ ์ด ์–ด๋ ต์Šต๋‹ˆ๋‹ค.

๊ด€๋ จ ๋ฌธ์„œ