Logira: AI 에이전트 실행을 위한 eBPF 런타임 감사

Logira는 eBPF 기반의 Linux 런타임 감사 도구로, AI 에이전트와 자동화가 OS 수준에서 실제로 수행하는 작업을 추적합니다. cgroup v2 실행 범위 추적을 사용하여 프로세스 실행, 파일 활동, 네트워크 활동을 기록하며, 이벤트를 단일 감사 실행에 귀속시킵니다.
주요 기능
이 도구는 타임라인 검토 및 쿼리를 위해 JSONL 및 SQLite 형식으로 실행별 로컬 저장소를 제공합니다. AI 에이전트 감사에 초점을 맞춘 기본 탐지 규칙을 포함하며, 선택적 사용자 정의 YAML 규칙을 지원합니다. Logira는 설계상 관찰 전용으로, 기록하고 탐지하지만 차단하거나 강제하지 않습니다.
기본 탐지 항목
- 자격 증명 및 비밀 기록:
~/.ssh,~/.aws, kube/gcloud/docker 구성,.netrc,.git-credentials, 레지스트리 자격 증명 - 민감한 자격 증명 읽기: SSH 개인 키, AWS 자격 증명/구성, kubeconfig, docker 구성,
.netrc,.git-credentials - 지속성 및 구성 변경:
/etc아래 기록, systemd 유닛, cron, 사용자 자동 시작 항목, 셸 시작 파일 - 임시 드롭퍼:
/tmp,/dev/shm,/var/tmp아래 생성된 실행 파일 - 의심스러운 실행 패턴:
curl|sh,wget|sh, 터널링/리버스 셸 도구 및 플래그, 셸 힌트가 있는 base64 디코딩 - 에이전트 안전 파괴 패턴:
rm -rf,git clean -fdx,find -delete,mkfs,terraform destroy및 유사 명령 - 네트워크 이그레스: 의심스러운 대상 포트 및 클라우드 메타데이터 엔드포인트 접근
설치
스크립트를 통한 권장 설치 방법:
curl -fsSL https://raw.githubusercontent.com/melonattacker/logira/main/install.sh | sudo bash또는 릴리스 tarball에서 수동 설치:
tar -xzf logira_vX.Y.Z_linux-<arch>.tar.gz
cd logira_vX.Y.Z_linux-<arch>
sudo ./install-local.sh설치 또는 업그레이드 후 데몬 재시작:
sudo systemctl daemon-reload
sudo systemctl restart logirad.service
sudo systemctl status logirad.service --no-pager실행 방법
루트 데몬 logirad는 systemd를 통해 실행됩니다. 설치 단계는 다음과 같습니다:
# 1) eBPF 객체 생성 (누락된 경우에만 필요)
make generate
2) systemd 유닛 설치
sudo install -D -m 0644 packaging/systemd/logirad.service /etc/systemd/system/logirad.service
3) 데몬 바이너리 설치 (유닛은 기본적으로 /usr/local/bin/logirad 사용)
sudo install -m 0755 ./logirad /usr/local/bin/logirad
4) (권장) 환경 파일을 통해 systemd가 eBPF .o 파일을 가리키도록 설정
sudo mkdir -p /etc/logira
sudo tee /etc/logira/logirad.env > /dev/null << 'EOF'
LOGIRA_EXEC_BPF_OBJ=/absolute/path/to/collector/linux
사용자 정의 규칙은 logira run --rules <file>로 실행별로 추가할 수 있습니다.
📖 전체 소스 읽기: HN AI Agents
👀 See Also

오픈소스 CLI 도구 sdf는 Claude를 사용하여 스택형 GitHub PR을 관리합니다.
sdf는 무료이며 MIT 라이선스가 적용된 CLI 도구로, git과 gh를 사용하여 스택형 풀 리퀘스트 워크플로우를 자동화하며, Claude CLI가 diff 분석 및 충돌 해결과 같은 복잡한 작업을 처리합니다.

유닉스 명령어를 사용하는 단일 run() 도구가 AI 에이전트에 함수 호출보다 우수한 이유
에이전트 구축 경력 2년의 백엔드 리드가 단일 run(command="...") 도구와 유닉스 스타일 CLI 명령어가 전통적인 함수 호출 카탈로그보다 성능이 우수하다고 주장합니다. 이 접근법은 LLM의 학습 데이터에서 얻은 셸 명령어에 대한 기존 친숙도를 활용합니다.

300달러 노트북으로 Qwen 3.5 35B에서 10.33 t/s 달성: 전체 최적화 분석
개발자가 300달러짜리 Lenovo Ideapad Slim 3i에서 ik_llama.cpp, 코어 고정, MTP 추측 디코딩, BIOS 성능 튜닝을 사용하여 Qwen 3.5 35B Q4_K_S에서 10.33 t/s를 달성했습니다.

프롬프트-미니: Claude 코드 플러그인이 모호한 프롬프트를 가로채 크레딧 낭비를 줄입니다
Prompt-mini는 Claude Code 플러그인으로, 실행 전에 모호한 프롬프트를 가로채어 명확한 질문을 하고, 스택 감지 및 40개 이상의 프레임워크에 대한 구체적인 규칙을 포함한 구조화된 프롬프트를 구축합니다. 이 도구는 범위 누락, 중지 조건, 파일 경로 등 35가지 크레딧 낭비 패턴을 해결합니다.