NanoClaw를 Docker 샌드박스에서 실행

• NanoClaw와 Docker의 협력으로, 한 줄 명령으로 각 AI 에이전트를 격리된 Docker 샌드박스에서 실행할 수 있게 됨
• 각 에이전트는 마이크로 VM 내부의 독립 컨테이너에서 동작하며, 호스트 시스템 접근 없이 완전한 격리 환경을 가짐
• 이중 보안 경계 구조를 통해 컨테이너 탈출 시에도 VM 단에서 차단되어, 호스트 파일·자격 증명·애플리케이션이 보호됨
• NanoClaw의 보안 모델은 ‘불신을 전제로 한 설계’ 로, 에이전트를 잠재적 악성 행위자로 간주하고 피해를 최소화하는 구조를 채택
• 향후 컨텍스트 공유 제어, 지속형 에이전트, 세분화된 권한 정책, 인간 승인 절차 등 대규모 에이전트 팀 운영을 위한 기능 확장을 목표로 함

Docker 샌드박스 통합 개요

• NanoClaw는 Docker와의 협력을 통해 한 줄 명령으로 샌드박스 실행을 지원
  • macOS(Apple Silicon)과 Windows(WSL)에서 지원되며, Linux는 곧 추가 예정
  • 설치 스크립트가 클론, 설정, 샌드박스 구성을 자동 처리
• 각 에이전트는 마이크로 VM 내부의 독립 컨테이너에서 실행
  • 별도 하드웨어나 복잡한 설정이 필요하지 않음
  • 각 컨테이너는 자체 커널과 Docker 데몬을 가지며, 호스트 접근이 차단됨

작동 방식

• Docker 샌드박스는 하이퍼바이저 수준의 격리를 제공하며, 밀리초 단위의 빠른 시작 속도를 가짐
• NanoClaw는 이 구조에 자연스럽게 매핑됨
  • 각 에이전트는 독립된 파일시스템·컨텍스트·도구·세션을 보유
  • 예: 영업용 에이전트는 개인 메시지에 접근할 수 없고, 지원용 에이전트는 CRM 데이터에 접근 불가
• 마이크로 VM 계층이 두 번째 보안 경계를 형성
  • 컨테이너 탈출 시에도 VM 벽에 막혀 호스트 시스템 보호

보안 모델: 불신 기반 설계

• NanoClaw는 AI 에이전트를 신뢰하지 않는 구조를 전제로 설계
  • 프롬프트 인젝션, 모델 오작동 등 예측 불가한 위험을 고려
  • 에이전트 환경에 비밀정보나 자격 증명을 넣지 않도록 설계
• 보안은 에이전트 외부에서 강제되는 구조로, 올바른 동작에 의존하지 않음
• OpenClaw와 달리 NanoClaw는 에이전트 간 완전한 격리를 제공
  • OpenClaw는 동일 환경을 공유해 개인·업무 데이터가 혼재될 수 있음
• 에이전트를 협업 대상이자 잠재적 공격자로 간주하는 보안 엔지니어링 원칙을 강조

향후 발전 방향

• 대규모 에이전트 팀 운영을 위한 새 인프라와 런타임 계층 구축 필요성 제시
• NanoClaw는 이미 여러 Slack 채널과 연결해 업무별 독립 에이전트 운영 가능
• 다음 단계로 제시된 네 가지 핵심 기능
  • 통제된 컨텍스트 공유: 팀 내 자유로운 정보 공유와 팀 간 선택적 공유를 병행
  • 지속형 에이전트 생성: 일회성 하위 에이전트가 아닌, 영속적 ID·환경·데이터를 가진 팀 구성원 형태
  • 세분화된 권한 정책: 이메일 읽기만 허용, 특정 저장소 접근 제한, 지출 한도 설정 등 세밀한 제어
  • 인간 승인 절차: 되돌릴 수 없는 작업은 인간 검토 후 실행
• NanoClaw는 보안 중심의 런타임 및 오케스트레이션 계층, Docker 샌드박스는 엔터프라이즈급 인프라 기반으로 제시됨
• 목표는 기본 격리, 통제된 협업, 조직 수준의 가시성과 거버넌스를 동시에 제공하는 에이전트 실행 스택 구축

NanoClaw 개요

• NanoClaw는 오픈소스 보안 런타임 및 오케스트레이션 레이어로, 팀 단위 AI 에이전트 운영을 지원
• GitHub에서 프로젝트를 확인하고 별표(star)로 참여 가능