[비판] 에이전트 샌드박싱, gVisor·Firecracker로도 막히지 않는 구멍

코드 실행 에이전트가 늘면서 격리는 컨테이너에서 gVisor·Firecracker 같은 마이크로VM으로 빠르게 이동했다. 문제는 격리 경계가 '프로세스'에 맞춰져 있는데 위협은 '데이터 흐름'을 탄다는 점이다. 샌드박스가 커널 호출을 완벽히 가둬도, 에이전트가 읽은 악성 웹페이지의 프롬프트 인젝션이 내부 도구 호출로 번지는 lethal trifecta(민감 데이터 접근·외부 통신·신뢰 불가 입력)는 VM 경계와 무관하게 성립한다. 실측 보고들은 네트워크 egress 화이트리스트와 도구별 권한 분리 없이 마이크로VM만 둔 구성에서 데이터 유출이 재현된다고 지적한다. 결국 하니스 레벨에서 도구 호출마다 능력(capability)을 명시적으로 부여하고, 신뢰 불가 콘텐츠를 읽은 뒤에는 외부 쓰기 권한을 자동 강등하는 흐름 기반 정책이 필요하다. CPU 격리는 필요조건일 뿐 충분조건이 아니다.