에이전트 하네스는 샌드박스 밖에 있어야 할까
에이전트 제품의 성숙도는 모델 성능보다 루프, 권한, 상태, 파일시스템을 어디에 둘지에서 갈린다. 샌드박스 밖 하네스는 운영 복잡도를 높이지만 보안과 멀티유저 확장성의 해법을 준다.
AI 뉴스를 놓치지 마세요
매주 핵심 AI 소식을 이메일로 받아보세요.
이제 질문은 “무슨 모델인가”가 아니다
Mendral이 공개한 글 The Agent Harness Belongs Outside the Sandbox는 AI 에이전트 제품이 실제 운영 단계로 들어갈 때 부딪히는 구조 문제를 잘 보여준다. 하네스는 프롬프트를 보내고, 모델 응답의 도구 호출을 실행하고, 결과를 다시 넣는 반복 루프다. 로컬 노트북에서 한 명이 쓰는 코딩 에이전트라면 하네스와 작업 디렉터리가 같은 컨테이너나 같은 머신에 있어도 된다.
하지만 Mendral이 다루는 문제는 다중 사용자 AI DevOps다. 여러 엔지니어가 같은 조직의 CI 실패, 취약점, 리뷰 작업을 동시에 맡긴다. 이때 하네스가 샌드박스 안에 있으면 API 키, 사용자 토큰, 장기 세션 상태, 조직 메모리가 모두 작업 환경과 뒤섞인다. 반대로 하네스를 백엔드에 두고 샌드박스를 도구 실행용으로만 쓰면 보안 경계가 선명해진다.
안쪽 모델과 바깥쪽 모델의 차이
| 아키텍처 | 장점 | 비용 |
|---|---|---|
| 하네스가 샌드박스 안 | 단순한 실행 모델, 기존 로컬 하네스 재사용 | 자격증명 노출, 세션과 샌드박스 수명 결합 |
| 하네스가 샌드박스 밖 | 키와 상태 보호, 샌드박스 일시중지, 장애 복구 | 파일시스템 가상화와 내구 실행을 직접 구현 |
| 혼합 모델 | 일부 도구만 분리 가능 | 경계가 모호해지고 디버깅이 어려움 |
Mendral은 바깥쪽 모델을 택했다. 글에 따르면 에이전트 루프는 Inngest 함수처럼 단계별 체크포인트를 남기는 내구 실행으로 운영하고, 샌드박스는 필요할 때만 깨운다. 샌드박스 재개에는 Blaxel의 대기 상태 재개를 활용한다고 설명한다. Hacker News의 토론에서도 이 지점이 관심을 받았다.
파일처럼 보이지만 일부는 데이터베이스다
가장 흥미로운 부분은 파일시스템이다. 현대 에이전트는 단순히 bash와 LLM만 쓰지 않는다. 스킬, 메모리, 서브에이전트, 계획, todo 같은 상태를 파일로 다룬다. Claude Code 계열 워크플로가 강한 이유도 모델이 read, write, edit 같은 익숙한 도구 표면에 최적화되어 있기 때문이다.
문제는 조직 단위 메모리다. 샌드박스가 죽으면 로컬 파일도 사라진다. 여러 세션이 동시에 같은 메모리를 수정하면 분산 파일시스템 문제가 된다. Mendral의 해법은 경로에 따라 도구 호출을 라우팅하는 것이다. 워크스페이스 경로는 샌드박스로 보내고, 스킬과 메모리 네임스페이스는 데이터베이스로 보낸다. 에이전트는 파일을 읽는다고 느끼지만, 일부 파일은 Postgres의 레코드다.
Flue 같은 에이전트 프레임워크가 하네스 개발을 제품화하려 한다면, Mendral의 글은 그 하네스가 운영 환경에서 어떤 책임을 떠안는지 보여준다. Ramp Sheets의 프롬프트 인젝션 이슈처럼 에이전트가 외부 데이터와 도구를 함께 다루는 순간, 권한 경계는 기능 목록만큼 중요해진다.
한국 SaaS 팀에 주는 시사점
국내 B2B SaaS가 AI 에이전트를 붙일 때 흔히 “컨테이너 하나 띄워서 모델에게 터미널을 주면 된다”고 생각한다. MVP에는 맞을 수 있다. 하지만 고객사가 늘고, 조직별 메모리와 감사 로그가 생기고, 보안팀이 권한 분리를 요구하면 구조는 빨리 바뀐다.
특히 금융, 제조, 공공 고객을 상대하는 팀은 하네스 위치를 초기에 정해야 한다. 토큰이 샌드박스 안에 들어가는지, 장기 세션이 배포 중 끊기지 않는지, 조직 지식이 어떤 트랜잭션으로 갱신되는지 답할 수 있어야 한다. Pentagon의 분류망 AI 인프라 계약이 보여주듯 AI 도입의 마지막 관문은 모델 데모가 아니라 운영 신뢰다.
아직 어려운 부분
Mendral도 완성된 정답을 주장하지 않는다. bash는 가상화 계층을 우회할 수 있고, 두 세션이 같은 메모리를 수정할 때 일관성 모델도 어렵다. 글은 현재 last-writer-wins에 가깝다고 설명한다. 이 솔직함이 중요하다. 에이전트 플랫폼은 멋진 데모보다 실패 모드 설명이 더 신뢰를 만든다.
FAQ
Q1. 하네스란 무엇인가?
모델 호출, 도구 실행, 결과 재투입을 반복하는 에이전트의 실행 루프다.
Q2. 왜 샌드박스 밖에 두나?
API 키와 사용자 토큰을 작업 환경에서 분리하고, 샌드박스를 필요할 때만 쓰며, 세션을 장애와 배포에서 보호하기 위해서다.
Q3. 단일 사용자 도구도 이렇게 해야 하나?
항상 그렇지는 않다. 로컬 개인 도구는 단순성이 더 중요할 수 있다. 다중 사용자 B2B 제품에서는 분리 이점이 커진다.
Q4. 파일시스템 가상화가 왜 필요한가?
모델은 파일 도구에 익숙하지만 조직 메모리는 데이터베이스 트랜잭션으로 관리해야 하기 때문이다.
Q5. 가장 큰 미해결 과제는?
bash 우회, 동시 메모리 수정, 빠르게 바뀌는 에이전트 도구 관습을 따라가는 일이다.
관련 토픽 더 보기
📰 원본 출처
mendral.com이 기사는 AI 기술을 활용하여 작성되었으며, 원본 뉴스 소스를 기반으로 분석 및 해설을 추가한 콘텐츠입니다. 정확한 정보 전달을 위해 노력하고 있으나, 원본 기사를 함께 확인하시기를 권장합니다.