-
AI 에이전트의 안전한 실행 환경을 보장하기 위해 개발된 연구용 샌드박스 런타임
- 컨테이너 없이 OS 네이티브 샌드박싱 프리미티브를 활용하는 경량 구조로 에이전트나 로컬 서버, CLI 명령을 안전하게 격리
-
macOS에서는
sandbox-exec과 Seatbelt 프로파일, Linux에서는 bubblewrap 기반의 네임스페이스 격리 사용
- 네트워크 트래픽은 프록시 서버를 통해 필터링되어 허용된 도메인만 접근 가능
-
보안 기본(secure-by-default) 철학에 따라 최소 권한으로 시작
- 필요한 파일 또는 네트워크 경로만 명시적으로 허용하는 allow-only / deny-only 패턴
- 주요 기능
-
Network restrictions: HTTP/HTTPS 및 기타 프로토콜의 접근 도메인 제어
-
Filesystem restrictions: 읽기/쓰기 가능한 파일 및 디렉터리 지정
-
Unix socket restrictions: 로컬 IPC 소켓 접근 제한
-
Violation monitoring: macOS에서 실시간 위반 로그 감시 기능 제공
-
MCP 서버 샌드박싱 지원
- Model Context Protocol 서버를
srt로 감싸 실행하여 파일 및 네트워크 권한을 제한
- 설정 파일(
~/.srt-settings.json)에서 세밀한 접근 정책 정의 가능
-
Dual Isolation Model로 파일시스템과 네트워크를 동시에 격리
- 파일 격리: 기본적으로 읽기 허용, 쓰기는 명시적 허용 필요
- 네트워크 격리: 기본적으로 모든 접근 차단, 허용 도메인만 통신 가능
-
CLI 및 라이브러리 형태 모두 지원
-
srt 로 명령 실행 시 자동으로 샌드박스 적용
- Node.js 환경에서
SandboxManager API를 통해 프로그래매틱 제어 가능
-
확장성 있는 네트워크 필터링
- 기본 프록시 대신 사용자 정의 프록시(mitmproxy 등) 연결 가능
- 트래픽 검사, 감사 로깅, 세밀한 필터링 로직 구현 가능
-
플랫폼 지원
- macOS, Linux 완전 지원
- Windows는 아직 미지원
- Linux 환경에서는
bubblewrap, socat, ripgrep 등 의존성 필요