AI Agent 파일시스템 보안을 위한 Sandbox 전략 분석: Container vs Virtual FS

Sandboxing AI Agent Filesystems: Containers vs Virtual FS Layers

Alan West2026년 5월 10일7분intermediate

AI 요약

Context

AI Agent의 파일시스템 접근 시 발생하는 권한 남용 및 데이터 파괴 위험을 제어하기 위한 격리 전략 분석. 단순한 경로 제한(Allowlist) 방식은 Symlink 우회 및 TOCTOU Race Condition으로 인한 보안 취약점이 존재함.

Raw FS with Allowlist: pathlib.Path().resolve()를 통한 절대 경로 검증으로 기본적인 Workspace 이탈 방지
Container Isolation: Docker의 Bind-mount와 --read-only 옵션을 조합하여 물리적으로 격리된 OS 레벨의 Blast Radius 구축
Virtual FS Layer: 실제 Disk I/O 전 메모리 상의 Overlay Layer에서 변경 사항을 스테이징하는 API 기반 가상화 설계
Commit/Discard 메커니즘: VFS Layer의 변경 사항을 검토 후 최종 반영하는 구조로 Agent의 의도와 실제 실행 사이의 검증 단계 삽입
추상화 계층 도입: 파일시스템 호출부를 VirtualFS 인터페이스로 캡슐화하여 백엔드 저장소의 종류와 무관한 일관된 Path Namespace 유지

실천 포인트

1. 단순 프로토타이핑 시: Path resolution 기반의 Allowlist 적용

2. 코드 변경 및 실행 권한 부여 시: Docker Container 기반의 물리적 격리 우선 고려

3. 인터랙티브한 승인 루프 구축 시: VFS Layer를 통한 Diff 검토 및 Commit/Discard 구조 설계

4. VFS 도입 시: Subprocess 실행 시 실제 FS에 직접 접근하는 Side-channel 발생 여부 검토

태그