Scope 기반 가드레일과 단계적 검증 체계를 통한 보안 리서치 워크플로우 설계

Context

범용 AI 에이전트의 무분별한 스캐닝으로 인한 Scope 이탈 및 False Positive 발생 문제 분석. 단순 취약점 추측과 안전하지 않은 Active Testing의 혼재로 인한 리스크 제어 필요성 대두.

Technical Solution

• Intake Gate 도입을 통한 프로그램 정보 및 Target URL 필수 확인으로 Out-of-scope 테스트 원천 차단
• read-only recon tool(bug_bounty_recon)을 통한 Passive Recon 단계 분리로 상태 변경 및 파괴적 행위 배제
• Approval-Gated Validation 구조 설계로 Active Check 수행 전 사용자 명시적 승인 프로세스 강제
• Evidence Level(RECON $\rightarrow$ HYPOTHESIS $\rightarrow$ INDICATION $\rightarrow$ PROVEN) 체계를 통한 데이터 신뢰도 단계적 격상
• Hypothesis Ledger 및 Chaining Graph 도입으로 단일 취약점이 아닌 복합 공격 경로의 논리적 모델링 구현
• Agent $\rightarrow$ Skills $\rightarrow$ Tools의 3계층 모델을 통해 LLM의 추론 능력과 도구의 실행 제약을 분리 설계