LangSmith Sandboxes are Generally Available
Quick Summary
LangSmith Sandboxes는 모델 생성 코드와 외부 의존성을 다루는 에이전트가 실제 컴퓨터처럼 작업하되, 하드웨어 가상화된 microVM 격리 안에서 안전하게 실행되도록 제공되는 LangSmith의 정식 출시 실행 환경입니다.
🖼️ 인포그래픽
🖼️ 4컷 인포그래픽
💡 한 줄 요약
LangSmith Sandboxes는 모델 생성 코드와 외부 의존성을 다루는 에이전트가 실제 컴퓨터처럼 작업하되, 하드웨어 가상화된 microVM 격리 안에서 안전하게 실행되도록 제공되는 LangSmith의 정식 출시 실행 환경입니다.
📌 핵심 요약
- LangSmith Sandboxes는 정식 출시되었으며, 각 샌드박스가 하드웨어 가상화된 microVM으로 실행되어 서비스와 다른 샌드박스로부터 커널 수준으로 격리됩니다.
- 본문은 코딩 에이전트, CI형 에이전트, 데이터 분석 에이전트처럼 코드 생성·의존성 설치·테스트 실행·파일 편집을 수행하는 시스템에는 단순 도구 호출이 아니라 파일시스템, 셸, 패키지 관리자, 지속 상태를 갖춘 환경이 필요하다고 설명합니다.
- LangSmith는 공급망 공격, 샌드박스 우회 RCE, 커널 취약점 사례를 들어 컨테이너나 eval 경계만으로는 프로덕션 에이전트 워크로드를 안전하게 운영하기 어렵다고 강조합니다.
- GA 릴리스에는 스냅샷과 copy-on-write 포크, 비활성 일시정지, Service URLs, Sandbox CLI, 생성자 기본 비공개 권한, Auth Proxy와 커스텀 콜백 등 에이전트 실행 플랫폼에 필요한 기능이 포함됩니다.
- monday.com은 Sidekick이 안전한 환경에서 코드를 작성하고 실행해 데이터 분석과 멀티미디어 생성 같은 더 풍부한 워크플로를 만들 수 있게 하는 사례로 소개되며, 향후 로컬-클라우드 연계, 공유 볼륨, 볼륨 마운트, 전체 실행 추적이 예고됩니다.
🧩 주요 포인트
- LangSmith Sandboxes는 정식 출시되었으며, 각 샌드박스가 하드웨어 가상화된 microVM으로 실행되어 서비스와 다른 샌드박스로부터 커널 수준으로 격리됩니다.
- 본문은 코딩 에이전트, CI형 에이전트, 데이터 분석 에이전트처럼 코드 생성·의존성 설치·테스트 실행·파일 편집을 수행하는 시스템에는 단순 도구 호출이 아니라 파일시스템, 셸, 패키지 관리자, 지속 상태를 갖춘 환경이 필요하다고 설명합니다.
- LangSmith는 공급망 공격, 샌드박스 우회 RCE, 커널 취약점 사례를 들어 컨테이너나 eval 경계만으로는 프로덕션 에이전트 워크로드를 안전하게 운영하기 어렵다고 강조합니다.
- GA 릴리스에는 스냅샷과 copy-on-write 포크, 비활성 일시정지, Service URLs, Sandbox CLI, 생성자 기본 비공개 권한, Auth Proxy와 커스텀 콜백 등 에이전트 실행 플랫폼에 필요한 기능이 포함됩니다.
- monday.com은 Sidekick이 안전한 환경에서 코드를 작성하고 실행해 데이터 분석과 멀티미디어 생성 같은 더 풍부한 워크플로를 만들 수 있게 하는 사례로 소개되며, 향후 로컬-클라우드 연계, 공유 볼륨, 볼륨 마운트, 전체 실행 추적이 예고됩니다.
🧠 상세 정리
1. 정식 출시와 기본 정의
LangSmith Sandboxes는 에이전트 코드 실행을 위해 설계된 안전하고 확장 가능한 환경으로 정식 출시되었습니다. 각 샌드박스는 하드웨어 가상화된 microVM으로 실행되며, 사용자의 서비스와 다른 샌드박스로부터 커널 수준에서 분리됩니다. 기존 LangSmith와 같은 SDK 및 API 키를 사용하므로, 팀은 별도의 런타임 계층을 처음부터 만들지 않고도 에이전트 워크플로에 보안 실행 환경을 붙일 수 있습니다. 본문은 이 기능이 Deep Agents SDK와 LangSmith 플랫폼에 통합되어 있고, 특정 프레임워크에 제한되지 않고 커스텀 코드와도 함께 쓸 수 있다고 설명합니다.
2. 에이전트가 코드 실행 환경을 필요로 하는 이유
본문은 최근의 에이전트들이 미리 정의된 도구 호출을 넘어 코드 실행을 핵심 작업 방식으로 사용하기 시작했다고 설명합니다. Cursor, Claude Code, OpenSWE, Deep Agents 같은 시스템은 코드를 생성하고, 의존성을 설치하고, 테스트를 실행하며, 실패를 확인한 뒤 파일을 수정합니다. 예시로는 응답 전에 자신의 출력을 실행해 검증하는 코딩 어시스턴트, 저장소를 클론하고 의존성을 설치해 테스트를 돌린 뒤 PR을 여는 CI형 에이전트, 데이터셋에 대해 Python을 실행하는 데이터 분석 에이전트가 제시됩니다. 이런 워크로드는 파일시스템, 패키지 관리자, 셸, 지속 상태를 갖춘 작은 컴퓨터 같은 환경을 요구하며, 동시에 실행되는 코드가 모델 생성물·외부 의존성·사용자 제공 코드일 수 있기 때문에 격리도 필요합니다.
3. 컨테이너와 표현식 샌드박스의 한계
LangSmith 글은 에이전트 코드를 실제 격리 경계 밖에서 실행하는 위험이 이론적인 문제가 아니라고 강조합니다. 공급망 공격 사례로 Shai-Hulud npm worm이 언급되며, 이 공격은 여러 패키지를 백도어화하고 테스트가 실행되기 전 preinstall 단계에서 실행된 것으로 설명됩니다. 또한 n8n에서 하루에 여러 RCE CVE가 공개되었고, JavaScript 표현식 샌드박스 우회와 Python task executor 탈출 사례가 있었다고 적고 있습니다. Copy Fail 취약점은 커널 crypto API를 통해 주요 Linux 배포판을 루팅할 수 있는 사례로 제시되며, 컨테이너는 호스트와 커널을 공유하기 때문에 이런 상황에서 충분한 보호 경계가 되기 어렵다고 설명합니다.
4. 에이전트 워크로드에 맞춘 실행 모델
본문은 컨테이너가 검증된 애플리케이션 코드를 상태 없이 실행하는 용도로 설계된 반면, 에이전트는 상태를 가진 작은 컴퓨터에 더 가깝다고 대비합니다. 에이전트는 패키지를 설치하고, 파일을 편집하고, 장시간 이어지는 작업 흐름을 따라가며, 중단된 지점으로 돌아와 계속 작업하기를 원합니다. LangSmith Sandboxes는 이런 실행 모델에 맞춰 각 샌드박스에 독립적인 파일시스템, 셸, 패키지 관리자, 네트워크 경계를 제공합니다. 에이전트는 코드를 쓰고 의존성을 설치하고 테스트를 실행하며 긴 세션을 이어갈 수 있지만, 그 작업은 사용자의 서비스 및 다른 샌드박스로부터 분리된 ephemeral microVM 안에서 수행됩니다.
5. GA 릴리스의 주요 기능
GA 릴리스에는 에이전트 워크플로를 더 유연하게 운영하기 위한 여러 기능이 포함됩니다. 스냅샷과 저렴한 포크 기능은 실행 중인 샌드박스를 캡처하거나 Docker 이미지에서 기반 환경을 만든 뒤, copy-on-write 방식으로 여러 병렬 분기를 띄울 수 있게 합니다. 비활성 샌드박스는 자동으로 일시정지되어 사용하지 않는 리소스 비용을 줄이는 방향으로 설계되어 있습니다. Service URLs는 샌드박스 내부에서 실행 중인 HTTP 서비스에 인증된 방식으로 접근하게 해 브라우저 미리보기나 스크립트 호출, 팀원 공유를 가능하게 하며, Sandbox CLI는 스냅샷 빌드, 샌드박스 관리, 대화형 콘솔, TCP 터널링, ssh·scp·rsync·sftp 같은 표준 도구 사용을 지원합니다.
6. 보안 제어, 실제 활용, 향후 계획
LangSmith Sandboxes는 생성자별 기본 비공개 권한을 적용해 샌드박스를 만든 사용자와 워크스페이스 관리자만 셸이나 Service URLs에 접근할 수 있도록 시작합니다. Auth Proxy는 샌드박스의 outbound 요청에 네트워크 계층에서 자격 증명을 주입해 시크릿이 런타임에 직접 닿지 않게 하며, GA에서는 테넌트별 토큰, vault 조회, 감사 훅 같은 고급 설정을 위한 커스텀 콜백도 추가되었습니다. monday.com은 Sidekick이 안전한 환경에서 코드를 작성하고 실행해 데이터 분석과 멀티미디어 생성 같은 더 풍부한 사용자 워크플로를 만들 수 있게 된 사례로 소개됩니다. 향후에는 로컬에서 개발한 에이전트를 코드 변경 없이 클라우드 샌드박스로 올리는 흐름, 에이전트 간 협업을 위한 공유 볼륨, 자체 blob storage나 git 저장소 마운트, VM 내부의 모든 프로세스와 네트워크 호출에 대한 전체 실행 추적이 예고됩니다.
🧾 핵심 주장 / 시사점
- 이 글의 핵심은 에이전트가 단순 API 호출자가 아니라 코드를 생성·실행·검증하는 작업 주체가 되면서, 실행 환경 자체가 제품 안정성과 보안의 중심 요소가 되었다는 점입니다.
- LangSmith는 컨테이너나 언어 수준 sandbox 기능을 충분한 격리로 보지 않고, 모델 생성 코드와 외부 의존성을 전제로 한 microVM 기반 실행 경계를 강조합니다.
- GA 기능들은 단순히 안전하게 코드를 돌리는 수준을 넘어, 병렬 실험, 세션 복구, 인증된 서비스 접근, 시크릿 주입, 감사 가능한 실행 흐름까지 에이전트 운영에 필요한 플랫폼 요소를 묶으려는 방향을 보여줍니다.
✅ 액션 아이템
- 코딩형·CI형·데이터 분석형 에이전트 운영에서 파일시스템, 셸, 패키지 관리자, 지속 상태가 요구되는지 기준을 정해 microVM 기반 전환 대상을 선별한다.
- LangSmith GA 기능(스냅샷, copy-on-write 포크, 비활성 일시정지, Service URLs, Sandbox CLI)을 기준으로 에이전트 실행 구성표를 업데이트한다.
- 공급망 공격·샌드박스 우회 RCE·커널 취약점 위험을 반영해 컨테이너·eval 경계만의 제약에서 벗어나 Auth Proxy와 비공개 기본권한 중심의 격리 정책을 정렬한다.
❓ 열린 질문
- LangSmith Sandboxes의 microVM 커널 격리를 적용할 때 어떤 작업군부터 병행 전환할지 우선순위는 무엇인가?
- snapshot·copy-on-write 포크·비활성 일시정지 운용이 장기 에이전트의 실패 복구 시간과 처리량에 미치는 영향은 어떻게 정량화할 것인가?
- monday.com Sidekick처럼 로컬-클라우드 연계와 공유 볼륨·전체 실행 추적을 도입할 경우, 데이터 유입·반출 통제 경계는 어디로 설정할 것인가?