2026년 3월 30일, AI 업계의 주요 기업들이 공동으로 Agentic AI Foundation을 설립했다. Anthropic, Google DeepMind, Microsoft, NVIDIA, 그리고 여러 학술 기관이 참여하는 이 재단의 목적은 AI 에이전트 시스템의 안전 기준을 수립하고 보급하는 것이다.
재단은 설립과 함께 "Agentic AI Safety Framework v1.0"을 발표했다. 이 프레임워크는 AI 에이전트가 외부 도구를 사용하고, 자율적으로 행동하고, 실제 결과를 만들어내는 시스템에 대한 포괄적인 안전 기준을 제시한다.
NIST가 정부 기관의 관점에서 프레임워크를 제시했다면, Agentic AI Foundation은 산업계의 관점에서 실질적인 구현 가이드라인을 제공한다. 두 프레임워크는 상호 보완적이며, 많은 원칙이 겹친다.
프레임워크의 핵심 기준
Agentic AI Safety Framework v1.0의 핵심 기준을 살펴보자.
격리 실행(Isolated Execution). 에이전트는 호스트 시스템과 격리된 환경에서 실행되어야 한다. 컨테이너, 가상 머신, 또는 동등한 수준의 격리 기술을 사용해야 한다. 에이전트의 행동으로 인한 피해가 격리된 환경 내로 제한되어야 한다.
최소 권한(Minimal Privilege). 에이전트에게 작업 수행에 필요한 최소한의 접근 권한만 부여해야 한다. 파일 시스템, 네트워크, 시스템 리소스에 대한 접근이 명시적으로 제한되어야 한다. 기본값은 "접근 거부"이고, 필요한 접근만 명시적으로 허용해야 한다.
인간 감독(Human Oversight). 고위험 행동에 대해 인간의 승인을 요구하는 메커니즘이 있어야 한다. 에이전트가 수행한 행동의 기록이 인간이 검토할 수 있는 형태로 보존되어야 한다. 에이전트의 자율성 수준을 사용자가 제어할 수 있어야 한다.
시크릿 보호(Secret Protection). 인증 정보, API 키 등의 시크릿은 에이전트의 실행 환경에 최소한으로 노출되어야 한다. 시크릿은 전용 보안 채널을 통해 전달되어야 하며, 환경 변수나 파일 시스템을 통한 전달을 지양해야 한다.
피해 범위 제한(Blast Radius Control). 에이전트가 침해되었을 때 피해의 범위를 예측하고 제한할 수 있어야 한다. 에이전트 인스턴스 간의 격리를 통해 침해의 확산을 방지해야 한다.
투명성(Transparency). 에이전트의 능력과 한계가 사용자에게 명확히 전달되어야 한다. 에이전트가 어떤 도구에 접근할 수 있고, 어떤 행동을 수행할 수 있는지 사용자가 이해할 수 있어야 한다.
NanoClaw의 현재 설계와의 대응
이 기준들을 NanoClaw의 현재 아키텍처에 대응시켜 보자.
격리 실행. NanoClaw의 모든 에이전트는 Linux 컨테이너(Apple Container 또는 Docker)에서 실행된다. 이것은 프레임워크가 요구하는 격리 수준을 충족하거나 초과한다. 컨테이너는 커널 수준의 격리를 제공하며, 에이전트의 행동은 컨테이너 경계를 넘을 수 없다.
최소 권한. NanoClaw의 마운트 허용 목록은 에이전트가 접근할 수 있는 파일 시스템 경로를 명시적으로 제한한다. 프로젝트 소스는 읽기 전용으로 마운트된다. 네트워크 접근은 아웃바운드 HTTPS로 제한된다. 컨테이너는 비루트 사용자로 실행된다. 기본값은 "접근 거부"이며, 허용된 경로만 마운트된다.
인간 감독. NanoClaw의 WhatsApp 기반 인터페이스는 본질적으로 인간 감독 메커니즘이다. 사용자가 메시지를 보내면 에이전트가 응답하는 대화형 모델에서, 모든 에이전트 행동은 사용자의 요청에 의해 시작된다. 예약 작업의 경우, 결과가 WhatsApp으로 전달되어 사용자가 검토할 수 있다.
시크릿 보호. API 키가 stdin을 통해 JSON 페이로드로 전달되며, 환경 변수나 파일 시스템에 노출되지 않는다. 이것은 프레임워크가 권장하는 "전용 보안 채널"에 정확히 해당한다.
피해 범위 제한. 각 WhatsApp 그룹이 독립된 컨테이너에서 실행되므로, 하나의 인스턴스 침해가 다른 인스턴스로 확산될 수 없다. 컨테이너는 대화 턴이 끝나면 해체되어, 침해의 지속성도 제한된다.
투명성. NanoClaw의 코어는 약 500줄이며, 전체 코드가 오픈소스다. 사용자가 원한다면 에이전트가 어떤 도구에 접근할 수 있고 어떤 행동을 수행할 수 있는지 코드를 직접 읽어 확인할 수 있다.
"설계에 의한 준수"
NIST 프레임워크와 마찬가지로, NanoClaw는 Agentic AI Foundation의 기준을 준수하기 위해 설계된 것이 아니다. 이 기준들이 발표되기 수개월 전에 NanoClaw의 아키텍처 결정이 이루어졌다.
이 패턴이 반복되는 것은 주목할 만하다. 별도의 기관이, 별도의 관점에서, 별도의 프로세스를 통해 AI 에이전트 안전 기준을 수립할 때마다, 그 기준이 NanoClaw의 기존 설계와 일치한다. 이것은 NanoClaw가 미래를 예측한 것이 아니라, NanoClaw가 올바른 보안 원칙을 따랐기 때문이다.
격리, 최소 권한, 감사 가능성, 시크릿 보호 — 이것들은 새로운 아이디어가 아니다. 수십 년간 시스템 보안의 기본 원칙이었다. NanoClaw가 한 것은 이 검증된 원칙들을 AI 에이전트 맥락에 적용한 것뿐이다.
준수와 구현의 차이
프레임워크가 원칙을 제시하는 것과, 프로젝트가 그 원칙을 구현하는 것 사이에는 큰 차이가 있다.
많은 AI 에이전트 프로젝트가 이 프레임워크를 보고 "컨테이너 격리를 추가해야겠다", "시크릿 관리를 개선해야겠다"고 생각할 것이다. 하지만 기존 아키텍처에 격리를 사후에 추가하는 것은, 처음부터 격리를 중심으로 설계하는 것과 근본적으로 다르다.
공유 프로세스 모델 위에 컨테이너를 나중에 씌우면, "격리" 체크박스는 채울 수 있지만, 아키텍처 곳곳에 남아 있는 공유 상태, 공유 메모리, 공유 네트워크 접근이 격리를 약화시킨다. NanoClaw는 컨테이너 격리가 첫 번째 아키텍처 결정이었기 때문에, 모든 후속 설계가 이 격리를 전제로 이루어졌다.
이 차이는 미묘하지만 중요하다. "준수한다"와 "설계에 의해 준수한다"는 같은 체크리스트를 충족하지만, 보안 보장의 깊이가 다르다.
안전 기준의 미래
Agentic AI Foundation은 v1.0 이후 기준을 계속 발전시킬 것이다. AI 에이전트가 더 강력해지고, 더 자율적이 되고, 더 많은 실제 행동을 수행하게 되면, 안전 기준도 더 엄격해질 것이다.
NanoClaw의 아키텍처는 이 방향에 잘 정렬되어 있다. 격리를 강화하는 기준, 권한을 제한하는 기준, 감사를 요구하는 기준 — 이런 기준이 추가될수록 NanoClaw의 기존 설계가 더 많은 항목을 자연스럽게 충족한다.
반대로, 공유 프로세스 모델을 유지하는 프로젝트는 새로운 기준이 추가될 때마다 아키텍처를 수정해야 한다. 시간이 지날수록 "사후 적용된 보안"과 "설계에 의한 보안"의 격차는 벌어질 것이다.
Agentic AI Foundation의 설립은 AI 에이전트 생태계가 성숙하고 있다는 신호다. 혁신과 속도만 추구하던 단계에서, 안전과 신뢰를 함께 고려하는 단계로 전환하고 있다. NanoClaw는 이 전환에서 이미 올바른 위치에 있다 — 안전이 사후 추가가 아닌 설계의 핵심이기 때문이다.