---
title: "stereOS: AI 코딩 에이전트를 격리된 VM에서 안전하게 실행하는 도구"
published: 2026-02-26T23:45:00.000Z
canonical: https://jeff.news/article/189
---
# stereOS: AI 코딩 에이전트를 격리된 VM에서 안전하게 실행하는 도구

AI 코딩 에이전트를 호스트 머신이 아닌 일회용 리눅스 VM에서 실행하는 도구. 컨테이너나 마이크로VM 대신 풀 VM을 사용해 GPU 패스스루, 시큐어 부트, 베어메탈 지원을 제공함.

- **stereOS**는 AI 코딩 에이전트를 호스트 머신이 아닌 **샌드박스 리눅스 VM 안에서** 실행하는 도구임. 일회용 VM을 부팅하고, 크레덴셜을 주입하고, 에이전트를 실행함. 호스트와 완전히 격리됨
- CLI 도구 이름은 `mb`(masterblaster)이고, `curl -fsSL https://mb.stereos.ai/install | bash`로 설치함

## 사용 방식

- "믹스테이프(Mixtape)"라는 개념이 있는데, 에이전트가 포함된 프리빌트 VM 이미지임. `mb pull opencode-mixtape`으로 받아서 사용
- `jcard.toml`이라는 설정 파일에 어떤 믹스테이프를 쓸지, 어떤 에이전트를 실행할지, 프롬프트는 뭔지 정의함
- `mb serve`로 데몬 띄우고 → `mb up`으로 VM 부팅 → `mb ssh`로 접속 → 작업 끝나면 `mb down && mb destroy`로 정리. 간단함

## 왜 컨테이너가 아니라 풀 VM인가

- 의도적인 설계 선택이라고 강조함. Firecracker, Cloud Hypervisor 같은 마이크로VM이 아니라 **풀 가상 머신**을 쓰는 이유:
  - **완전 격리** — 각 에이전트가 자체 커널, RAM, 디스크, 네트워크를 가짐. 호스트와 공유되는 게 없음
  - **하드웨어 접근** — 시큐어 부트, FIPS 컴플라이언스, GPU 패스스루(ollama, vLLM으로 로컬 모델 실행 가능)
  - **베어메탈 지원** — KVM 위에서만 도는 게 아니라 실제 하드웨어에서도 실행 가능. 엔터프라이즈 셀프호스팅에 중요
  - **자체 치유 인프라** — 에이전트가 자기 VM 안에서 k8s, docker compose를 실행하거나 다른 에이전트를 띄울 수 있음
- 마이크로VM은 가상 하드웨어를 제거하기 때문에 시큐어 부트, FIPS, GPU 패스스루, 베어메탈 지원이 안 되고, 중첩 가상화의 보안 경계도 깨진다는 게 이들의 주장임

## 핵심 포인트

- 컨테이너/마이크로VM이 아닌 풀 VM으로 완전 격리
- GPU 패스스루로 ollama/vLLM 로컬 모델 실행 가능
- 믹스테이프(프리빌트 VM 이미지) + jcard.toml로 간편 설정
- 에이전트가 VM 내에서 k8s, docker compose 등을 자유롭게 실행 가능

## 인사이트

AI 에이전트에게 코드 실행 권한을 주는 게 불안한 팀에게 매력적인 접근. 다만 풀 VM의 오버헤드가 실사용에서 얼마나 문제가 될지가 관건.