마이크로소프트, AI 코드 실행 격리 시스템 'MXC' 프리뷰 공개

마이크로소프트가 AI 모델이 생성한 코드나 플러그인·도구처럼 신뢰할 수 없는 코드를 격리된 환경에서 실행하는 시스템 'MXC(Microsoft Execution Containers)'를 깃허브에 공개했다. 윈도우, 리눅스, 맥OS를 모두 지원하며, OS 기본 프로세스 샌드박스부터 완전한 가상머신까지 여러 격리 백엔드를 단일 JSON 설정 스키마와 타입스크립트 SDK 아래로 묶었다.

이번 공개본은 개발자들의 초기 통합과 피드백을 받기 위한 얼리 프리뷰다. 마이크로소프트는 프리뷰의 샌드박스가 개발이 진행되면서 바뀔 수 있다고 밝혔으며, 현재 MXC SDK가 생성하는 정책 가운데 일부가 지나치게 허용적인 경우가 있어 정식 공개 전에 보완하겠다고 설명했다. 또한 현 단계의 어떤 MXC 프로파일도 보안 경계로 취급해서는 안 된다고 못 박으면서, 기능이 성숙해지는 동안 보안 연구자들의 협력을 환영한다고 덧붙였다.

격리 백엔드는 ProcessContainer, 윈도우 샌드박스, LXC, Bubblewrap, Seatbelt(맥OS), MicroVM(NanVix), Hyperlight, IsolationSession, WSLC 등 여러 종류로 제공된다. 플랫폼별 기본 백엔드는 윈도우 11 24H2 이상에서 processcontainer, 리눅스 x64·ARM64에서 bubblewrap, 맥OS(스키마 0.6.0-alpha 이상)에서 seatbelt다.

안정 버전의 원샷 백엔드인 processcontainer, bubblewrap, lxc는 실험 모드 없이 사용할 수 있다. 다만 리눅스에서는 기본 백엔드에 bwrap(Bubblewrap), lxc 백엔드에 lxc 툴셋 같은 런타임을 따로 설치해야 한다. windows_sandbox, wslc, microvm, seatbelt, isolation_session, hyperlight 같은 실험 백엔드는 옵션에 experimental 플래그를 켜거나 --experimental CLI 플래그를 줘야 동작한다.

정책 기반 샌드박싱은 세 갈래로 나뉜다. 파일시스템 정책은 읽기 전용·읽기 쓰기 경로 목록을 지정한다(윈도우에서는 거부 경로가 아직 지원되지 않는다). 네트워크 정책은 프록시와 아웃바운드 허용·차단, 호스트 필터링을 다룬다(프록시는 맥OS에서, 허용·차단과 호스트 필터링은 윈도우에서 아직 지원되지 않는다). UI 정책은 클립보드, 디스플레이, GUI 접근을 제어한다.

세션형 샌드박스는 프로비전 → 시작 → 실행 → 중지 → 해제로 이어지는 다단계 수명주기를 따른다. 타입스크립트 SDK인 '@microsoft/mxc-sdk' npm 패키지는 한 번에 실행하는 원샷 API와 오래 유지되는 샌드박스를 위한 상태 기반 수명주기 API를 함께 제공한다. 디버그 로깅과 윈도우용 이벤트 추적(ETW) 같은 진단 기능도 들어 있다.

빌드에는 러스트 툴체인(1.93 버전으로 고정), Node.js 18 이상, npm이 필요하다. 설정 스키마는 0.5.0-alpha(안정), 0.6.0-alpha(안정·현재), 0.7.0-dev(실험 백엔드와 상태 기반 수명주기) 세 가지가 있으며, 마이크로소프트는 모든 지원 플랫폼에서 새 코드에는 0.6.0-alpha를 쓰라고 권한다.