개요
NanoClaw는 Docker와의 협력으로, 각 AI 에이전트를 격리된 Docker 샌드박스에서 실행할 수 있게 만든 보안 중심 런타임입니다.
- 한 줄 명령으로 샌드박스 실행
- 각 에이전트는 독립된 컨테이너에서 동작
- 마이크로 VM을 추가 경계로 둬 컨테이너 탈출 시에도 호스트를 보호
핵심은 에이전트를 신뢰하지 않는 전제입니다. 즉, 에이전트를 협업 파트너이면서 동시에 잠재적 공격자로 보고 피해를 최소화하는 구조를 택합니다.
한 줄 요약
“NanoClaw는 에이전트를 격리된 마이크로 VM + Docker 컨테이너 안에 넣어, 호스트 파일과 자격 증명을 기본적으로 차단한다.”
실행 구조
1. Docker 샌드박스
- 한 줄 명령으로 샌드박스 실행
- macOS(Apple Silicon), Windows(WSL) 지원
- Linux는 곧 추가 예정
- 설치 스크립트가 클론, 설정, 샌드박스 구성을 자동 처리
2. 마이크로 VM
- 각 에이전트는 마이크로 VM 내부의 독립 컨테이너에서 실행
- 컨테이너마다 독립된 파일시스템, 컨텍스트, 도구, 세션을 가짐
- 호스트 시스템 접근 없이 완전한 격리 환경을 지향
3. 이중 보안 경계
- 1차 경계: Docker 컨테이너
- 2차 경계: 마이크로 VM
컨테이너 탈출이 발생해도 VM 경계에서 추가로 차단되도록 설계합니다.
보안 모델
NanoClaw의 보안은 불신을 전제로 한 설계입니다.
의미
- 프롬프트 인젝션을 고려
- 모델 오작동을 고려
- 비밀정보와 자격 증명을 에이전트 환경에 두지 않음
- 올바른 동작을 기대하는 대신 외부에서 강제
이 접근은 에이전트를 편리한 자동화 도구가 아니라, 제어된 권한만 가진 실행 주체로 보는 방식입니다.
대규모 팀 운영 방향
향후 목표는 단일 샌드박스가 아니라, 대규모 에이전트 팀 운영 인프라에 가깝습니다.
제안되는 확장
- 컨텍스트 공유 제어
- 지속형 에이전트
- 세분화된 권한 정책
- 인간 승인 절차
예:
- 영업용 에이전트는 개인 메시지에 접근하지 못함
- 지원용 에이전트는 CRM 데이터만 접근
- 되돌릴 수 없는 작업은 사람 승인 후 실행
OpenClaw와의 차이
OpenClaw는 동일 환경을 공유하는 개인 AI 플랫폼 성격이 강함NanoClaw는 에이전트 간 완전한 격리를 우선함
즉, OpenClaw가 작업 편의와 통합에 더 가깝다면, NanoClaw는 보안과 권한 분리에 더 강하게 치우칩니다.
의미
이 노트가 중요한 이유는 단순히 Docker를 붙였다는 게 아니라, 에이전트 운영의 기본 단위를 “격리 가능한 실행체”로 다시 정의했다는 점입니다.
- 호스트 보호
- 권한 최소화
- 팀 단위 에이전트 운영
- 확장 가능한 거버넌스
이건 개인용 자동화보다, 조직 운영용 에이전트 런타임에 더 가깝습니다.