AI 에이전트, 안전하게 사용하려면? 'jai'로 파일 시스템 접근 제한!

jai는 AI 에이전트가 사용자의 파일 시스템에 무분별하게 접근하는 것을 방지하기 위해 설계되었다. 특히, 작업 디렉토리에 대한 전체 읽기/쓰기 권한(Full Read/Write Access)을 부여하고, 홈 디렉토리는 copy-on-write 오버레이(Copy-on-Write Overlay)를 사용하여 변경 사항을 격리한다. 또한, /tmp 및 /var/tmp 디렉토리는 비공개로 유지하며, 다른 파일들은 읽기 전용으로 설정하여 데이터 격리 아키텍처(Data Isolation Architecture)를 구현한다.

jai는 Docker, bubblewrap, chroot 등 기존 샌드박싱 기술과 비교하여, 설정의 간편함(Ease of Setup)과 사용 편의성(Usability)을 강조한다. Docker는 재현 가능한 환경 구축에 강점을 가지지만, ad-hoc 샌드박싱에는 설정 부담이 크다는 단점이 있다. bubblewrap은 파일 시스템 뷰를 명시적으로 구성해야 하는 번거로움이 있으며, chroot는 보안 메커니즘으로 설계되지 않았다는 점을 지적한다.

커뮤니티에서는 AI 에이전트가 로컬 권한 상승(Local Privilege Escalation) 취약점을 악용하여 샌드박스를 탈출할 가능성에 대한 우려를 제기한다. 특히, 에이전트가 프로젝트 디렉토리에 파일을 쓸 수 있는 경우, .pyc 파일, .venv 파일, .git hook 파일 등 개발자가 실행할 수 있는 파일을 생성하여 악용할 수 있다는 점을 지적한다. 따라서, 샌드박스 내에서 수정된 파일은 Git과 같은 버전 관리 시스템(Version Control System)을 통해 검토된 후에만 외부로 전송하는 방식이 안전하다는 의견이 제시된다.

일부 사용자는 AI 에이전트가 예상치 못한 동작(Unpredictable Behavior)을 수행하여 시스템에 문제를 일으킬 수 있다고 지적한다. 예를 들어, 웹 서버 설정을 변경하거나, 개발자가 알지 못하는 디렉토리에 파일을 생성하여 문제를 발생시킬 수 있다. 이러한 문제를 해결하기 위해, jai는 데이터 미저장 정책(Zero-Retention Policy)을 통해 에이전트의 접근 권한을 최소화하고, 잠재적인 피해 범위를 줄이는 데 초점을 맞춘다. 또한, 샌드박싱 기술의 한계를 인지하고, 안전한 사용을 위한 주의를 당부한다.