# Anthropic Sandbox Runtime (srt) - AI용 경량 샌드박스

> Clean Markdown view of GeekNews topic #25751. Use the original source for factual precision when an external source URL is present.

## Metadata

- GeekNews HTML: [https://news.hada.io/topic?id=25751](https://news.hada.io/topic?id=25751)
- GeekNews Markdown: [https://news.hada.io/topic/25751.md](https://news.hada.io/topic/25751.md)
- Type: news
- Author: [xguru](https://news.hada.io/@xguru)
- Published: 2026-01-12T09:46:02+09:00
- Updated: 2026-01-12T09:46:02+09:00
- Original source: [github.com/anthropic-experimental](https://github.com/anthropic-experimental/sandbox-runtime)
- Points: 11
- Comments: 3

## Summary

AI 에이전트와 로컬 서버를 안전하게 실행하기 위한 **경량 샌드박스 런타임**입니다. 컨테이너 대신** OS 수준의 네이티브 격리** 기능을 활용해, 파일·네트워크 접근을 최소 권한으로 제한합니다. macOS에서는 Seatbelt 프로파일, Linux에서는 bubblewrap 기반 네임스페이스를 사용하며, 프록시를 통한 도메인 필터링으로 네트워크 제어를 세밀하게 수행합니다. CLI와 Node.js API 모두 지원해, 개발자는 코드 한 줄로 안전한 실행 환경을 구성할 수 있습니다. 하지만, 아직 윈도우는 아직 미지원이네요.

## Topic Body

- **AI 에이전트의 안전한 실행 환경**을 보장하기 위해 개발된 연구용 샌드박스 런타임  
- 컨테이너 없이 **OS 네이티브 샌드박싱 프리미티브**를 활용하는 경량 구조로 에이전트나 로컬 서버, CLI 명령을 안전하게 격리   
- **macOS**에서는 `sandbox-exec`과 **Seatbelt 프로파일**, **Linux**에서는 `bubblewrap` 기반의 네임스페이스 격리 사용  
  - 네트워크 트래픽은 **프록시 서버**를 통해 필터링되어 허용된 도메인만 접근 가능  
- **보안 기본(secure-by-default)** 철학에 따라 최소 권한으로 시작  
  - 필요한 파일 또는 네트워크 경로만 명시적으로 허용하는 **allow-only / deny-only 패턴**  
- 주요 기능  
  - **Network restrictions**: HTTP/HTTPS 및 기타 프로토콜의 접근 도메인 제어  
  - **Filesystem restrictions**: 읽기/쓰기 가능한 파일 및 디렉터리 지정  
  - **Unix socket restrictions**: 로컬 IPC 소켓 접근 제한  
  - **Violation monitoring**: macOS에서 실시간 위반 로그 감시 기능 제공  
- **MCP 서버 샌드박싱** 지원  
  - Model Context Protocol 서버를 `srt`로 감싸 실행하여 파일 및 네트워크 권한을 제한  
  - 설정 파일(`~/.srt-settings.json`)에서 세밀한 접근 정책 정의 가능  
- **Dual Isolation Model**로 파일시스템과 네트워크를 동시에 격리  
  - 파일 격리: 기본적으로 읽기 허용, 쓰기는 명시적 허용 필요  
  - 네트워크 격리: 기본적으로 모든 접근 차단, 허용 도메인만 통신 가능  
- **CLI 및 라이브러리** 형태 모두 지원  
  - `srt `로 명령 실행 시 자동으로 샌드박스 적용  
  - Node.js 환경에서 `SandboxManager` API를 통해 프로그래매틱 제어 가능  
- **확장성 있는 네트워크 필터링**  
  - 기본 프록시 대신 **사용자 정의 프록시(mitmproxy 등)** 연결 가능  
  - 트래픽 검사, 감사 로깅, 세밀한 필터링 로직 구현 가능  
- **플랫폼 지원**  
  - macOS, Linux 완전 지원  
  - Windows는 아직 미지원  
  - Linux 환경에서는 `bubblewrap`, `socat`, `ripgrep` 등 의존성 필요

## Comments



### Comment 49054

- Author: fastkoder
- Created: 2026-01-12T10:11:29+09:00
- Points: 2

정말 필요한걸 차근차근 만드는군요

### Comment 49074

- Author: m00nlygreat
- Created: 2026-01-12T15:35:27+09:00
- Points: 1

윈도우는 언제나 뒷전이군요. MS는 각성해야 합니다. 이제와서 각성한다고 뭐가 될 것 같진 않지만

### Comment 49056

- Author: crawler
- Created: 2026-01-12T10:36:01+09:00
- Points: 1

mcp랑 같이 나왔어야 할 거 같은데 오픈소스 재단에 넘기고 나오다니 많이 늦은 감은 있네요  
근데 그것도 윈도우 미지원이라니 ㅠㅠ