---
title: "AI 에이전트 돌릴 때 파일시스템은 좀 지키자 — jai 경량 샌드박스"
published: 2026-03-28T00:39:54.000Z
canonical: https://jeff.news/article/1338
---
# AI 에이전트 돌릴 때 파일시스템은 좀 지키자 — jai 경량 샌드박스

스탠포드 연구 그룹이 만든 jai는 AI 에이전트 실행 시 파일시스템을 보호하는 경량 샌드박스. 명령어 앞에 jai만 붙이면 홈 디렉토리를 copy-on-write 오버레이로 보호하고, Casual/Strict/Bare 세 가지 격리 모드를 제공함.

- AI 에이전트한테 터미널 접근 권한 줬다가 파일 날리고, 워킹 트리 비워지고, 심지어 홈 디렉토리가 통째로 날아갔다는 사례가 이미 나오고 있음. 이건 가상의 시나리오가 아님
- 스탠포드 보안 컴퓨터 시스템 연구 그룹에서 만든 **jai**는 이 문제를 해결하려는 경량 샌드박스 도구임. 컨테이너나 VM을 띄울 정도는 아닌데 그냥 YOLO로 돌리긴 불안한, 딱 그 사이를 노린 거임
- 사용법이 정말 단순함. `jai codex`, `jai claude` 이런 식으로 기존 명령어 앞에 `jai`만 붙이면 됨. Dockerfile도 이미지도 필요 없음

## 동작 방식

- 현재 작업 디렉토리(CWD)는 읽기/쓰기 모두 가능하게 유지함
- 홈 디렉토리는 **copy-on-write 오버레이**로 감쌈 — 에이전트가 뭘 바꿔도 원본은 안 건드림
- `/tmp`, `/var/tmp`은 프라이빗으로 격리되고, 나머지 파일시스템은 읽기 전용으로 잠김

## 세 가지 모드

- **Casual**: 홈은 CoW 오버레이, 프로세스는 내 유저로 실행. 대부분 파일이 읽히기 때문에 기밀성은 약하지만, 무결성은 오버레이로 보호됨
- **Strict**: 홈은 비어있는 별도 홈, 별도 UID의 비특권 유저로 실행. 기밀성·무결성 모두 강력함. 다만 NFS 홈은 지원 안 됨
- **Bare**: 홈은 비어있지만 내 UID로 실행. 기밀성은 중간 수준

> [!WARNING]
> jai는 "캐주얼 샌드박스"를 표방함. 폭발 반경(blast radius)을 줄여주는 거지, 완벽한 보안을 보장하지는 않음. 멀티테넌트 격리나 의도적 공격 방어가 필요하면 컨테이너나 VM을 써야 함.

- 오픈소스(free software)이고, 스탠포드 연구 그룹 + Future of Digital Currency Initiative에서 후원함. 상업적 펀넬이 아니라 "AI를 더 안전하게 쓰자"는 목적이라고 함

## 핵심 포인트

- AI 에이전트에 의한 파일 삭제·홈 디렉토리 초기화 사례가 실제로 발생 중
- Dockerfile 없이 jai 한 줄로 샌드박스 적용 가능
- Casual, Strict, Bare 세 가지 격리 모드 제공
- 스탠포드 보안 연구 그룹의 오픈소스 프로젝트

## 인사이트

컨테이너는 무겁고 YOLO는 위험한 AI 에이전트 사용 환경에서, 딱 그 중간 지점을 노린 도구. 에이전트 시대에 이런 캐주얼 샌드박스 수요가 계속 늘어날 것으로 보임.