제로 트러스트 오픈클로 아키텍처: 실행 전후 검증으로 보안 강화

OpenClaw를 위한 오픈소스 보안 아키텍처는 에이전트가 주변 OS 권한을 가지면서도 그들의 행동에 대한 신뢰할 수 있는 검증이 없는 문제를 해결합니다. 이 솔루션은 실행 루프에 두 가지 강력한 검증 지점을 구현합니다.

실행 전 게이트

predicate-authorityd라는 로컬 Rust 데몬이 실행 전에 모든 도구 호출을 가로채어 선언적 정책에 대해 검사합니다. 이는 p99 <25ms로 밀리초 미만의 인증 오버헤드를 제공합니다. 시스템은 실패 시 폐쇄됩니다: 사이드카가 다운되면 모든 것이 거부됩니다. 예를 들어, 에이전트가 /etc/passwd에 쓰기를 시도하면 강제로 차단되어 호스트 OS는 절대 접촉되지 않습니다.

실행 후 검증

브라우저 작업 후 LLM에게 "작동했나요?"라고 묻는 대신, 시스템은 다음과 같은 결정론적 어설션을 실행합니다:

url_contains("news.ycombinator.com") → 통과
element_exists("titleline") → 통과
dom_contains("Show") → 통과

.eventually() 패턴은 깨지기 쉬운 sleep() 호출 없이 SPA 하이드레이션을 처리합니다.

추적 및 토큰 절약

인증 결정, DOM 스냅샷, 검증 결과 등 모든 단계는 추적(로컬 또는 클라우드)에 푸시됩니다. 웹 포털에서 에이전트의 정확한 상태를 단계별로 재생할 수 있어, 실패한 어설션 디버깅이나 에이전트가 실제로 본 내용(스크린샷 포함)을 감사하는 데 유용합니다.

predicate-snapshot 기술은 DOM을 실행 가능한 요소만으로 압축하여 90-99%의 토큰 절약을 달성합니다. Hacker News 게시물을 추출하는 데모에서는 원시 HTML의 50k+ 대신 단계당 약 1200 토큰을 사용했습니다.

사용 사례 및 향후 개발

이 아키텍처는 전자상거래 사이트(Amazon, eBay)의 가격 모니터링, 경쟁사 추적, 디렉토리에서의 리드 생성, 또는 에이전트가 실제로 올바른 데이터를 추출했음을 보장해야 하는 모든 웹 스크래핑과 같은 작업에 대해 프로덕션 준비가 되어 있습니다.

실행 전 게이트는 이미 모든 에이전트에 대해 작동합니다(사이드카에 대한 HTTP 호출일 뿐입니다). 향후 개발에는 동일한 결정론적 접근 방식으로 LLM-판사 없이 파일 시스템 상태 어설션, API 응답 검증, 데이터베이스 검사를 포함한 비-웹 에이전트로 실행 후 검증을 확장하는 것이 포함됩니다.