트레판: AI 생성 코드를 위한 로컬 VS 코드 보안 감사 도구
Trepan은 '침묵하는 AI 보안 부채'—컴파일은 통과하지만 아키텍처적 보안 맥락이 부족한 AI 제안 코드의 취약점—를 해결하는 VS Code 확장 프로그램입니다. 이는 AI 코딩 어시스턴트와 코드베이스 사이에서 로컬 보안 게이트키퍼 역할을 합니다.
Trepan 작동 방식
이 도구는 제로 베이스라인 접근법을 사용하여 로컬 보안 규칙에 대해 AI 제안을 감사합니다. 단순히 추측하지 않으며, 프로젝트 내 .trepan/system_rules.md 파일을 기반으로 정책을 시행합니다.
- 100% 로컬 전용: Ollama를 사용하여 외부 API로 코드 유출 없이 사용자 기기에서 보안 감사 실행
- 결정론적 검증: 수락 전 로컬 LLM이 특정 보안 제약 조건에 대해 제안된 코드를 검증하도록 강제
- 맥락 인식: 프로젝트별 규칙을 읽어 일반 린터가 놓치는 논리별 결함 포착
Trepan이 포착하는 것
이 도구는 표준 정적 분석을 우회하는 환각 현상을 찾도록 특별히 조정되었습니다:
- AI가 제안한 안전하지 않은 API 엔드포인트
- 프론트엔드 로직의 침묵하는 DOM XSS 취약점
- AI가 환각할 수 있는 하드코딩된 비밀 또는 '편리한' 백도어
기술적 세부 사항
Trepan은 AGPLv3 라이선스 하에 오픈소스이며 VS Code 마켓플레이스에서 이용 가능합니다. 개발자는 감사 단계를 위한 다양한 시스템 프롬프트를 실험 중이며, 감사 논리와 프롬프트 엔지니어링에 대한 피드백을 구하고 있습니다.
개발자는 과도한 지연 없이 보안 중심 감사에 가장 적합한 로컬 모델(Llama 3, Mistral 등)에 대해 커뮤니티의 의견을 요청하고 있습니다.
📖 전체 소스 읽기: r/LocalLLaMA
👀 See Also
프롬프트 캐싱 MCP 플러그인은 안정적인 컨텍스트를 식별하여 Claude API 비용을 자동으로 절감합니다.
프롬프트 캐싱 MCP 플러그인은 시스템 프롬프트와 도구 정의와 같은 안정적인 컨텍스트 부분을 자동으로 식별한 다음, Anthropic의 캐싱 기능을 위해 이를 표시하여 코딩 세션에서 API 비용을 80-92% 절감합니다.
NGX-OS: eBPF와 MCP 통합으로 AI를 위해 구축된 네트워크 운영 체제
NGX-OS는 AI 통합을 위해 처음부터 설계된 네트워크 운영 체제로, eBPF를 사용한 실시간 원격 측정과 MCP를 통해 번역 계층 없이 네트워크 상태 데이터에 직접 접근할 수 있는 LLM 접근을 제공합니다.
클로드의 171개 내부 감정 벡터가 출력에 미치는 영향: Anthropic 연구 기반 툴킷
Anthropic의 연구 논문은 Claude가 감정 벡터처럼 작동하는 171개의 내부 활성화 패턴을 가지고 있으며, 이 패턴들이 글을 쓰기 전에 행동을 인과적으로 이끈다고 밝혔습니다. 한 개발자가 이러한 발견을 바탕으로 7가지 실용적인 프롬프팅 원칙과 시스템 프롬프트가 포함된 툴킷을 만들었습니다.
Auto-co: 클로드 코드를 자율 AI 회사로 변환하는 50줄짜리 배시 스크립트
Auto-co는 Claude Code CLI를 루프로 감싸는 약 50줄의 bash 스크립트로, CEO, 엔지니어, 비평가 등 14개의 AI 에이전트가 역할을 맡아 자율적으로 실행되도록 합니다. 이 시스템은 FormReply와 Changelog.dev를 포함한 4개의 제품을 처음부터 구축했으며, 270회 이상의 사이클에 걸쳐 총 비용은 268달러입니다.