Claude Code Plan mode의 Prompt 기반 제어 한계와 Runtime Enforcement의 필요성

Claude Code's plan mode is prompt engineering, not hard enforcement

eyesofish2026년 5월 26일4분intermediate

AI 요약

Context

Claude Code의 Plan mode가 시스템 프롬프트 주입 방식의 Advisory 제어에만 의존하여 런타임 수준의 강제성이 결여된 구조적 취약점 노출.

System Prompt를 통한 단순 행동 지침 주입 방식의 제어 구조 설계
Tool execution path 내 Permission Resolver 및 Mode-aware allow-list 부재로 인한 실행 제어 불가
Tool.isReadOnly() 플래그의 Opt-in 방식 채택 및 Plan mode 내 미활용으로 인한 쓰기 권한 방치
LLM의 Context Drift 및 Prompt Bypass에 노출된 비결정적 가드레일 구조
실제 Enforcement를 위해 Dispatcher 단계에서 Tool 호출을 차단하는 Hard-coded Logic의 부재
Policy 계층을 LLM 추론 계층 하단으로 분리하여 설득 불가능한 Return Statement 기반의 거부 체계 필요

실천 포인트

1. 시스템 프롬프트 기반의 제약 사항이 실제 런타임의 권한 체계(ACL)와 동기화되어 있는지 검토

2. State-changing Tool 호출 전, 현재 모드(Mode)에 따른 실행 가능 여부를 판단하는 Dispatcher 계층 구현

3. LLM의 Context Window 확장 및 토큰 누적에 따른 지침 희석 가능성을 고려한 Defense in Depth 전략 수립

태그