feat(surf): sandboxed web → markdown brief command

Add an end-to-end '명령 → 검색 → 문서' pipeline that runs entirely
inside a throwaway Docker container, fully isolated from the OpenClaw
main container.

  surf "오늘 코스피 종가와 거래대금"
  surf "이번 주 IT 빅뉴스 5건" --max 8
  surf "S&P 500 weekly recap" --lang en
  surf "이 논문 요약" --sources url://https://arxiv.org/abs/2310.06825

Pipeline:
  1) host CLI scripts/surf parses args, exports env, calls
     'docker compose -f openclaw-mgr/compose.surf.yml run --rm surf'
  2) container (mcr.microsoft.com/playwright/python:v1.46.0-jammy)
     runs scripts/surf-lib/surf.py:
       - RSS pull (Yonhap, Hani, Google News KO; Reuters, BBC, Google
         News EN) with simple keyword filtering
       - Naver search + finance.naver.com (auto-included for KOSPI/
         KOSDAQ keywords)
       - Wikipedia (ko/en)
       - Direct URL via 'url://https://...'
  3) bodies are sent to host Ollama via host.docker.internal:11434
     (qwen2.5-coder:7b by default) which writes a structured Markdown
     brief: title, TL;DR, key bullets, detail, sources.
  4) container exits, output lives at ~/openclaw-surf/out/<slug>.md.

Hardening on the surf container:
  - read_only: true, tmpfs:/tmp
  - cap_drop: ALL, no-new-privileges
  - only ~/openclaw-surf/out mounted rw; lib mounted ro
  - --rm: every run is a fresh container, no persistent state
  - no access to OpenClaw .env, ~/.ssh, or other host paths
  - OpenClaw main container stays in isolated mode throughout

Files:
  + openclaw-mgr/compose.surf.yml
  + scripts/surf                       (host CLI)
  + scripts/surf-setup.sh              (idempotent setup, ~/bin/surf
                                        symlink, image prefetch)
  + scripts/surf-lib/surf.py           (collector + Ollama brief)
  ~ docs/GUIDE-WEB-FETCH.md            (new section 8 KO+EN, TOC)
  ~ README.md / README.en.md           (doc map mentions surf)

Author: 박성모

README.en.md

@@ -83,7 +83,7 @@ You may see system dialogs for Docker Desktop / Xcode CLT — just accept them.
 | 🆕 **First time / never used a terminal** | [docs/QUICKSTART-en.md](docs/QUICKSTART-en.md) | Step-by-step from "open Terminal", with sample output |
 | 🇰🇷 **한국어 처음 사용자** | [docs/QUICKSTART-ko.md](docs/QUICKSTART-ko.md) | 한국어 버전 |
 | 📖 **Unfamiliar with the terms (Ollama · Docker · OpenClaw)** | [docs/GUIDE-OLLAMA.md](docs/GUIDE-OLLAMA.md) · [docs/GUIDE-DOCKER.md](docs/GUIDE-DOCKER.md) · [docs/GUIDE-OPENCLAW.md](docs/GUIDE-OPENCLAW.md) | Three 3-minute primers (concepts, vocabulary, philosophy) — KO+EN |
-| 🌐 **Pulling stocks · news · FX from the web** | [docs/GUIDE-WEB-FETCH.md](docs/GUIDE-WEB-FETCH.md) | Network toggle cycle, real-world prompts, official APIs, automation, troubleshooting. KO+EN |
+| 🌐 **Pulling stocks · news · FX from the web** | [docs/GUIDE-WEB-FETCH.md](docs/GUIDE-WEB-FETCH.md) | Network toggle cycle, real-world prompts, official APIs, automation, troubleshooting. **Includes `surf` command — sandboxed Docker fetch → Markdown brief**. KO+EN |
 | 🎨 **Designer workflow automation (Pinterest → nano-banana → Figma)** | [docs/GUIDE-CREATIVE-PIPELINE.md](docs/GUIDE-CREATIVE-PIPELINE.md) | 4-step manual → one command. 4 parallel nano-banana windows for ~3.7× speedup. KO+EN |
 | 👤 **General user** | [README.en.md](README.en.md) (this file) | Command catalog · `.env` · network isolation · FAQ |
 | 🇰🇷 **일반 사용자 (KO)** | [README.md](README.md) | Korean main README |

README.md

@@ -96,7 +96,7 @@ cd openclaw-workspace/openclaw-mgr
 | 🆕 **처음 보는 사람 / 터미널 처음** | [docs/QUICKSTART-ko.md](docs/QUICKSTART-ko.md) | 터미널 여는 법부터 단계별로, 예시 출력 포함 |
 | 🇬🇧 **English first-timer** | [docs/QUICKSTART-en.md](docs/QUICKSTART-en.md) | Same as above, in English |
 | 📖 **단어가 낯설면 (Ollama · Docker · OpenClaw)** | [docs/GUIDE-OLLAMA.md](docs/GUIDE-OLLAMA.md) · [docs/GUIDE-DOCKER.md](docs/GUIDE-DOCKER.md) · [docs/GUIDE-OPENCLAW.md](docs/GUIDE-OPENCLAW.md) | 3분용 기초 가이드 3편 (구조·용어·철학) — KO+EN 병기 |
-| 🌐 **웹에서 코스피·뉴스·환율 가져오기** | [docs/GUIDE-WEB-FETCH.md](docs/GUIDE-WEB-FETCH.md) | 네트워크 토글 사이클·실전 프롬프트·공식 API 키·자동화·트러블슈팅. KO+EN 병기 |
+| 🌐 **웹에서 코스피·뉴스·환율 가져오기** | [docs/GUIDE-WEB-FETCH.md](docs/GUIDE-WEB-FETCH.md) | 네트워크 토글 사이클·실전 프롬프트·공식 API 키·자동화·트러블슈팅. **`surf` 명령으로 샌드박스 도커 안에서 검색 → 마크다운 도구 포함**. KO+EN 병기 |
 | 🎨 **디자이너 워크플로우 자동화 (Pinterest → 나노바나나 → Figma)** | [docs/GUIDE-CREATIVE-PIPELINE.md](docs/GUIDE-CREATIVE-PIPELINE.md) | 4단계 수작업 → 1명령. 나노바나나 4창 병렬로 속도 ~3.7×. KO+EN 병기 |
 | 👤 **일반 사용자** | [README.md](README.md) (이 문서) | 명령 카탈로그·`.env`·네트워크 격리·FAQ |
 | 🇬🇧 **General user (EN)** | [README.en.md](README.en.md) | Full English equivalent of this README |

docs/GUIDE-WEB-FETCH.md

@@ -16,6 +16,7 @@
   - [5. 안전 패턴 (꼭 읽기)](#5-안전-패턴-꼭-읽기)
   - [6. 자동화 — 매일 아침 9시 코스피 요약](#6-자동화--매일-아침-9시-코스피-요약)
   - [7. 트러블슈팅](#7-트러블슈팅)
+  - [8. 🧪 샌드박스 자동 브리프 — `surf` 명령](#8--샌드박스-자동-브리프--surf-명령)
 - [🇬🇧 English](#-english)
   - [TL;DR](#tldr)
   - [1. Open the network → work → lock back (recommended cycle)](#1-open-the-network--work--lock-back-recommended-cycle)
@@ -231,6 +232,105 @@ crontab -e
 | `network online` 한 채로 깜빡 잊음 | 사람의 망각 | 위 [1회용 세션 스니펫](#권장-1회용-인터넷-세션-스니펫) 으로 자동 잠금 |
 | 사이트가 봇 차단(403/429) | UA 누락 / rate limit | RSS 로 전환. 정 안 되면 `Mozilla/5.0` UA 명시. 그래도 안 되면 그 사이트는 포기. |
 
+### 8. 🧪 샌드박스 자동 브리프 — `surf` 명령
+
+> **OpenClaw 메인 컨테이너를 건드리지 않고**, 1회용 격리 컨테이너에서 검색·수집·요약·문서화까지 한 번에 끝냅니다. 코스피 종가, 뉴스 5선, 환율 등 **명령 → 검색 → 마크다운** 시나리오에 최적화.
+
+#### 한 줄로:
+
+```bash
+surf "오늘 코스피 종가와 거래대금"
+# → ~/openclaw-surf/out/오늘-코스피-종가와-거래대금-20260426-0930.md
+
+surf "이번 주 IT 빅뉴스 5건" --max 8
+surf "S&P 500 weekly recap" --lang en --sources rss,wikipedia
+surf "이 논문 요약" --sources url://https://arxiv.org/abs/2310.06825
+surf "삼성전자 외국인 매매 추이" --out samsung-foreign.md
+```
+
+#### 어떻게 동작하나
+
+```
+호스트(맥북)                                              인터넷
+  └ surf "오늘 코스피 ..."  ─►  Docker compose run --rm
+                                       │
+                                ┌──────▼──────────────────┐
+                                │ 1회용 컨테이너            │   ⇄ 일반 인터넷
+                                │ Playwright + Python       │
+                                │ read_only: true           │
+                                │ cap_drop: ALL             │
+                                │ tmpfs:/tmp                │
+                                │ 마운트: out/ 만 read-write │
+                                └──────┬──────────────────┘
+                                       │ host.docker.internal:11434
+                                ┌──────▼─────────────────┐
+                                │ 호스트 Ollama          │
+                                │ (qwen2.5-coder:7b)     │
+                                └──────┬─────────────────┘
+                                       │
+            ~/openclaw-surf/out/*.md  ◄┘ (호스트에 저장, 컨테이너는 사라짐)
+```
+
+#### OpenClaw 메인 컨테이너와의 격리
+
+| 항목 | 영향? |
+|---|---|
+| OpenClaw 컨테이너 `isolated` 모드 유지? | ✅ 그대로 유지 (별개 compose 프로젝트, 별개 네트워크) |
+| 호스트 `~/.ssh`, `~/Documents` 접근 | ❌ 마운트 없음 |
+| OpenClaw `.env` / `compose.security.yml` 접근 | ❌ 마운트 없음 |
+| 컨테이너의 영속 변경 | ❌ `read_only: true` + `--rm` (실행 후 자동 삭제) |
+| 권한 상승 (sudo) | ❌ `cap_drop: ALL` + `no-new-privileges` |
+| 호스트 Ollama 호출 | ✅ `host.docker.internal:11434` 만 |
+
+즉, **명령마다 새 컨테이너** 가 떴다 사라지고, 호스트로 빠져나오는 건 출력 마크다운 한 개뿐입니다.
+
+#### 1회 세팅
+
+```bash
+~/DEV/openclaw-workspace/scripts/surf-setup.sh
+# - SURF_HOME (~/openclaw-surf) 생성
+# - Playwright Docker 이미지 사전 pull (~700MB)
+# - ~/bin/surf 런처
+```
+
+#### 옵션
+
+| 옵션 | 효과 | 기본 |
+|---|---|---|
+| `--sources rss,naver,wikipedia` | 출처 선택. `url://https://...` 도 가능 | `rss,naver,wikipedia` |
+| `--lang ko` / `--lang en` | RSS 피드와 위키 언어 | `ko` |
+| `--max N` | 컨테이너가 모을 본문 수 상한 | `6` |
+| `--out NAME.md` | 출력 파일명 (생략 시 자동 슬러그) | 자동 |
+| `SURF_OPEN=1 surf ...` | 완료 후 `open` 으로 자동 열기 | `0` |
+
+#### 환경변수 (compose.surf.yml 가 읽음)
+
+| 변수 | 의미 |
+|---|---|
+| `SURF_HOME` | 결과 저장 위치 (기본 `~/openclaw-surf`) |
+| `OLLAMA_TEXT_MODEL` | 요약 모델 (기본 `qwen2.5-coder:7b`) |
+
+#### 일정 자동화 (cron / launchd)
+
+```bash
+# 평일 오전 9시 5분에 코스피·코스닥 브리프
+crontab -e
+5 9 * * 1-5 ~/bin/surf "오늘 코스피·코스닥 종가·거래대금" --out kospi-$(date +\%F).md
+```
+
+> 결과는 항상 `~/openclaw-surf/out/` 에 마크다운으로 떨어지므로 [Obsidian / Bear / Notes 자동 import](https://help.obsidian.md/Files+and+folders/Folder+structure) 에 그대로 연결됩니다.
+
+#### `surf` 트러블슈팅
+
+| 증상 | 대응 |
+|---|---|
+| `Ollama 데몬이 응답하지 않습니다` | Ollama 앱 실행 후 다시 |
+| 첫 실행이 느림 | Playwright 이미지(~700MB) 첫 pull. 다음부턴 ~5초 |
+| 출처 본문이 비어있음 | RSS 가 가장 안정적. `--sources rss` 만으로도 시도 |
+| 결과가 너무 짧음 | `--max 8` 로 본문 더 모으기, 또는 `OLLAMA_TEXT_MODEL=qwen2.5:14b-instruct-q4_K_M` |
+| Bot 차단(403/429) | `--sources rss,wikipedia` 또는 `url://` 로 직접 URL 지정 |
+
+
 ---
 
 ## 🇬🇧 English
@@ -369,3 +469,31 @@ crontab -e
 | Result truncated | Context length exceeded | Use a larger-context model, or pre-cut HTML with `htmlq`/`pup` |
 | Forgot to lock back to isolated | Human forgetfulness | Use the [one-shot session snippet](#one-shot-internet-session-snippet) |
 | 403 / 429 from a site | Bot detection / rate limit | Switch to RSS; add `Mozilla/5.0` UA; otherwise abandon that source |
+
+### 8. 🧪 Sandboxed auto-brief — the `surf` command
+
+> One command → throwaway Docker container fetches and summarizes → Markdown brief on disk. The OpenClaw main container stays in `isolated` the whole time.
+
+```bash
+surf "today's KOSPI close and turnover"
+surf "S&P 500 weekly recap" --lang en
+surf "this week's IT headlines" --max 8
+surf "summarize this paper" --sources url://https://arxiv.org/abs/2310.06825
+```
+
+**Sandbox guarantees** — every run spawns a fresh `mcr.microsoft.com/playwright/python` container with `read_only: true`, `cap_drop: ALL`, `no-new-privileges`, `tmpfs:/tmp`. Only `~/openclaw-surf/out` is mounted (read-write); `~/.ssh`, the OpenClaw `.env`, and the OpenClaw container are **not** touched. The container hits `host.docker.internal:11434` to reach the host Ollama, then is `--rm`'d.
+
+**One-time setup:**
+
+```bash
+~/DEV/openclaw-workspace/scripts/surf-setup.sh    # pulls Playwright image, creates ~/bin/surf
+```
+
+**Options:** `--sources rss,naver,wikipedia,url://https://...` · `--lang ko|en` · `--max N` · `--out file.md` · env `SURF_OPEN=1` to auto-open.
+
+**Cron example:**
+
+```bash
+5 9 * * 1-5 ~/bin/surf "today's KOSPI/KOSDAQ close and turnover" --out kospi-$(date +\%F).md
+```
+

openclaw-mgr/compose.surf.yml

@@ -0,0 +1,45 @@
+# =============================================================================
+# compose.surf.yml — 웹서핑 샌드박스 (Playwright + Python)
+# -----------------------------------------------------------------------------
+# 1회용 컨테이너로 인터넷에서 정보를 수집하고 마크다운 브리프를 생성합니다.
+# OpenClaw 메인 컨테이너와는 별개의 네트워크에서 동작합니다.
+#
+# 격리 규칙:
+#   • 호스트의 Ollama(127.0.0.1:11434) 만 host.docker.internal 로 접근.
+#   • 그 외 인터넷은 일반 인터넷 (DNS 정상). 작업 끝나면 컨테이너 자체가 사라짐.
+#   • 호스트 파일시스템은 출력 디렉터리(~/openclaw-surf) 만 read-write 마운트.
+#   • OPENCLAW_DIR / .env / ~/.ssh 등은 일절 마운트 안 함.
+#   • 매 실행마다 새 컨테이너 (--rm). 안에서 영속 변경 금지.
+# =============================================================================
+name: openclaw-surf
+
+services:
+  surf:
+    image: mcr.microsoft.com/playwright/python:v1.46.0-jammy
+    # 출력 디렉터리만 마운트
+    volumes:
+      - ${SURF_HOME:-${HOME}/openclaw-surf}/out:/work/out:rw
+      - ${SURF_REPO}/scripts/surf-lib:/work/lib:ro
+    working_dir: /work
+    # 호스트의 Ollama 데몬을 host.docker.internal 로 호출
+    extra_hosts:
+      - "host.docker.internal:host-gateway"
+    # 보안 하드닝
+    read_only: true
+    tmpfs:
+      - /tmp:size=512m
+      - /work/.cache:size=128m
+    cap_drop: ["ALL"]
+    security_opt:
+      - "no-new-privileges:true"
+    # 환경변수: 컨테이너 안 surf.py 가 읽음
+    environment:
+      OLLAMA_HOST: "http://host.docker.internal:11434"
+      OLLAMA_TEXT_MODEL: "${OLLAMA_TEXT_MODEL:-qwen2.5-coder:7b}"
+      QUERY: "${QUERY}"
+      SOURCES: "${SOURCES:-rss,naver,wikipedia}"
+      MAX_PAGES: "${MAX_PAGES:-6}"
+      LANG: "${LANG:-ko}"
+      OUT_FILE: "/work/out/${OUT_FILE}"
+    # 컨테이너에 1개의 명령만: lib/surf.py
+    command: ["python", "/work/lib/surf.py"]

scripts/surf

@@ -0,0 +1,81 @@
+#!/usr/bin/env bash
+# =============================================================================
+# scripts/surf — 명령 → 웹 검색 → 마크다운 브리프 (샌드박스 컨테이너)
+# -----------------------------------------------------------------------------
+# 사용:
+#   surf "오늘 코스피 종가와 거래대금"
+#   surf "한겨레 1면 5개 요약" --lang ko
+#   surf "S&P 500 weekly recap" --lang en --sources rss,wikipedia
+#   surf "이 논문 요약: https://arxiv.org/abs/2310.06825" --sources url://https://arxiv.org/abs/2310.06825
+#   surf "오늘 IT 빅뉴스" --out today-tech.md --max 8
+#
+# 동작:
+#   1) 임시 Docker 컨테이너(Playwright/Python) 를 띄움
+#   2) 컨테이너 안에서 RSS·네이버·위키 등에서 본문 수집
+#   3) 호스트 Ollama 에 마크다운 브리프 요청
+#   4) ~/openclaw-surf/out/<file>.md 로 저장 후 컨테이너 자동 삭제
+#
+# OpenClaw 메인 컨테이너의 isolated 모드와 무관 — 전혀 영향 없음.
+# Copyright 2026 박성모 Park Sungmo — MIT License
+# =============================================================================
+set -euo pipefail
+
+REPO_DIR="$(cd "$(dirname "${BASH_SOURCE[0]}")/.." && pwd)"
+SURF_HOME="${SURF_HOME:-$HOME/openclaw-surf}"
+mkdir -p "$SURF_HOME/out"
+chmod 700 "$SURF_HOME"
+
+# Ollama 데몬 확인
+if ! curl -s --max-time 2 http://127.0.0.1:11434/api/tags >/dev/null; then
+  echo "✗ Ollama 데몬이 응답하지 않습니다 (127.0.0.1:11434)" >&2
+  echo "  Ollama 앱을 실행한 뒤 다시 시도하세요." >&2
+  exit 2
+fi
+
+# 인자 파싱
+query=""
+sources="rss,naver,wikipedia"
+lang="ko"
+max=6
+out=""
+while [ $# -gt 0 ]; do
+  case "$1" in
+    --sources) sources="$2"; shift 2 ;;
+    --lang)    lang="$2"; shift 2 ;;
+    --max)     max="$2"; shift 2 ;;
+    --out)     out="$2"; shift 2 ;;
+    -h|--help)
+      sed -n '4,18p' "$0" | sed 's/^# //; s/^#//'
+      exit 0 ;;
+    *)
+      if [ -z "$query" ]; then query="$1"; else query="$query $1"; fi
+      shift ;;
+  esac
+done
+
+[ -n "$query" ] || { echo "검색어 필요. 사용: surf \"...\"" >&2; exit 2; }
+
+# 출력 파일명: --out 없으면 슬러그 + 날짜
+if [ -z "$out" ]; then
+  slug="$(echo "$query" | tr '[:upper:]' '[:lower:]' \
+    | sed -E 's/[^a-z0-9가-힣]+/-/g; s/^-+|-+$//g' | cut -c1-40)"
+  out="${slug:-brief}-$(date +%Y%m%d-%H%M).md"
+fi
+
+echo "▸ surf '$query' → $SURF_HOME/out/$out"
+
+# Docker 사용
+command -v docker >/dev/null || { echo "✗ docker 가 필요합니다" >&2; exit 2; }
+docker info >/dev/null 2>&1 || { echo "✗ Docker 가 실행 중이 아닙니다" >&2; exit 2; }
+
+export SURF_HOME SURF_REPO="$REPO_DIR" QUERY="$query" SOURCES="$sources" \
+       LANG="$lang" MAX_PAGES="$max" OUT_FILE="$out"
+
+# 컨테이너 1회 실행 (--rm), 결과는 호스트의 out 디렉터리에 남음
+docker compose -f "$REPO_DIR/openclaw-mgr/compose.surf.yml" \
+  run --rm \
+  --no-deps \
+  surf
+
+echo "✔ 완료: $SURF_HOME/out/$out"
+[ "${SURF_OPEN:-0}" = "1" ] && open "$SURF_HOME/out/$out" || true