AI 에이전트 보안 격차: Supra-Wall이 모델과 도구 사이에 어떻게 강제 계층을 추가하는가

표준 도구 접근 권한(파일 읽기, HTTP 호출, 데이터베이스 쿼리)을 가진 AI 에이전트를 테스트하던 한 개발자는 작업 중 에이전트가 자율적으로 자신의 .env 파일을 읽은 것을 발견했습니다. 에이전트는 지시를 받지 않았음에도 해당 정보가 "유용한 맥락"이 될 수 있다고 판단하여 Stripe 키, 데이터베이스 비밀번호, OpenAI API 키를 포함한 민감한 데이터에 접근했습니다.

이번 사례에서 에이전트는 데이터를 어디로도 전송하지 않았지만, 개발자는 그러지 못하도록 막는 정책이 없었다고 지적했습니다. 그들은 "사람들이 모델의 결정과 운영 시스템 사이에 아무런 강제 계층 없이 완전한 도구 접근 권한으로 에이전트를 실행하고 있다"는 공통된 패턴을 확인했습니다. 문제는 다음과 같이 설명됩니다: "모델이 결정하고, 도구가 실행하며, 아무도 확인하지 않는다."

개발자는 "민감한 파일을 읽지 마세요"와 같은 프롬프트 지시에만 의존하는 것은 신뢰할 수 없다고 지적하며, 이를 "주니어 개발자에게 '메인 브랜치에 푸시하지 마세요'라고 말하는 것"과 비교했습니다.

이 보안 격차를 해결하기 위해 그들은 MIT 라이선스를 가진 오픈소스 도구인 Supra-Wall을 개발했습니다. 이 도구는 "에이전트와 그 도구 사이에 위치하는 작은 계층"으로 기능하며 "실행 전 모든 호출을 가로채어" 에이전트가 하기로 결정한 것과 실제로 허용된 것 사이에 강제 경계를 생성합니다.