피드로 돌아가기
Dev.toSecurity
원문 읽기
Human Credential 분리 및 Agent 전용 Identity 구축을 통한 Blast Radius 최소화
Why Your AI Agent Shouldn't Use a Human's Credentials
AI 요약
Context
AI Agent가 사용자의 OAuth Grant를 공유하여 동작하는 기존 구조의 보안 취약점 분석. Human Identity 공유로 인한 과도한 데이터 노출 및 Prompt Injection 발생 시 사용자 전체 데이터가 유출되는 단일 실패 지점(Single Point of Failure) 문제 발생.
Technical Solution
- Agent 전용 별도 Mailbox(Agent Accounts) 구축을 통한 Permission Boundary 설정
- Human Grant 기반의 광범위한 권한을 Task 기반의 Least Privilege 원칙으로 재설계
- Prompt Injection 방어를 위해 모든 외부 입력을 Untrusted Input으로 처리하는 필터링 레이어 도입
confirm_send_message→send_message로 이어지는 2-Step Verification Flow 강제 적용- API Key를 Secrets Manager 및 환경 변수로 격리하여 코드 및 System Prompt 내 노출 원천 차단
- Webhook 기반의 이벤트 처리 구조를 채택하여 Polling으로 인한 API Rate Limit 도달 방지
실천 포인트
1. Agent가 사용자 계정의 전체 히스토리에 접근하고 있는지 검토하고 전용 계정으로 전환
2. 외부 메시지 본문을 LLM에 전달하기 전 HTML 스트리핑 및 이스케이프 처리 적용
3. 모든 쓰기/삭제 작업에 대해 Human-in-the-loop 기반의 명시적 승인 단계 추가
4. API Key의 개발/운영 환경 분리 및 OS Keyring을 통한 Plaintext 저장 금지 준수