$7/month VPS와 IRC transport layer로 만든 AI agent 설계에 HN가 주목

작은 VPS 위에 올린 intentional agent design

Hacker News thread에서 George Larson의 digital doorman 글이 주목받은 이유는 공개용 AI agent nullclaw를 매우 작은 단위로 설계했다는 점이다. 이 agent는 $7/month VPS에서 678 KB Zig binary로 실행되며, 메모리 사용량은 약 1 MB RAM 수준으로 설명된다. 연결 방식도 무거운 chat stack이 아니라 Ergo IRC server를 중심으로 잡았다. 방문자는 사이트 안에 embed된 gamja web IRC client를 통해 접근한다. 즉, 이 시스템은 화려한 UI보다 단순하고 추적 가능한 transport를 택한 사례로 받아들여졌다.

구성은 public과 private를 명확히 나눈다. 공개 agent인 nullclaw와 별도로, private agent ironclaw는 Tailscale로 연결된 separate box에 위치한다. 이 private side는 email, calendar, private context를 처리하고, public box에는 private data를 두지 않는다. HN에서 이 점이 중요하게 읽힌 이유는 인터넷에 노출된 machine을 전권을 가진 agent host가 아니라 제한된 gateway로 다뤘기 때문이다. 결과적으로 설계의 핵심은 기능 확장보다 trust boundary를 어떻게 나누는지에 있다.

small footprint와 blast-radius control

Larson은 전체 footprint가 binaries 기준 10 MB 이하이고 idle 상태 RAM은 5 MB 이하라고 설명했다. 대화는 Haiku 4.5가 담당하고, tool use는 Sonnet 4.6이 담당하며, 비용은 $2/day cap으로 제한된다. 여기에 A2A passthrough도 강조된다. private-side agent가 public gateway의 inference pipeline을 빌려 쓰는 구조라서 하나의 API key와 하나의 billing relationship으로 양쪽을 운영할 수 있다. 동시에 private context를 public machine에 복사하지 않는다는 점이 이 설계를 더 실용적으로 보이게 만들었다.

• nullclaw는 public entry point로 동작한다.
• ironclaw는 separate box에서 private context를 맡는다.
• Ergo IRC와 gamja 조합은 transport를 단순하게 유지한다.
• Haiku 4.5와 Sonnet 4.6 분리는 tiered inference 구조를 드러낸다.

보안 posture도 비교적 구체적이다. 글에 따르면 read-only 또는 workspace-only allowlist, audit logs, Cloudflare proxy, limited ports가 적용되며, public box에는 private data가 없다. 이런 요소는 agent capability를 크게 보이게 하려는 장식이 아니라, 문제 발생 시 영향 범위를 제한하려는 선택으로 읽힌다. 그래서 HN 댓글도 단순한 성능 자랑보다 운영 경계와 관찰 가능성에 더 관심을 보였다.

댓글의 초점은 크게 세 가지였다. tiered inference가 실제로 좋은 tradeoff인지, IRC가 agent transport로 충분히 단순하고 유용한지, 그리고 이런 경계가 있어도 prompt-injection이나 monitoring 우려가 얼마나 남는지였다. 이 글이 관심을 끈 이유는 값싼 VPS에서 AI agent를 돌렸다는 사실 하나가 아니다. intentional agent systems design, small footprint, explicit blast-radius control, 그리고 transport simplicity가 한 번에 드러난 사례였기 때문이다.