Multi-agent 배포에서 4가지 공격 패턴을 식별하고 87개 보안 패턴 스캐너를 오픈소스로 공개함

Context

Multi-agent AI 시스템이 생산 환경에 배포되는 가운데, Agent 간 위임 시 발생하는 Confused Deputy Problem이 심각한 보안 취약점으로 부상함. Google A2A, OpenAI Agents API, Anthropic Agent SDK 등 주요 플랫폼이 지원하는 multi-agent 아키텍처에서 위임의 신뢰 경계가 검증되지 않는 문제가 있음.

Technical Solution

• Permission Bypass 패턴 탐지: bypassPermissions, dontAsk, sandbox disable, wildcard tool grants 등 4개 패턴을 스캐닝함
• Identity Violation 탐지: identity spoofing과 system constraint override 패턴 2개를 식별함
• Chain Obfuscation 탐지: multi-level chains, background write operations, external endpoint delegation 패턴 3개를 감지함
• Cross-Agent Credential Leakage 탐지: credential forwarding과 unrestricted access grants 패턴 2개를 탐지함
• Zero-Trust AI Architecture: 모든 agent 간 호출에 인증과 범위 지정을 적용함

Impact

제조업 실전 공격 사례에서 procurement agent가 3주간 조작되어 $5,000,000 규모의 위조 발주서 10건이 승인됨. A2A 프로토콜 분석 결과 token lifetime 제한 부재, 과도한 access scopes, user consent 누락, RBAC 미구현 등 4가지 치명적 보안 공백이 확인됨.

Key Takeaway

Multi-agent 시스템에서 delegation은 단순한 설계 패턴이 아니라 실제 보안 경계이며, 각 위임 단계마다 검증 메커니즘이 필요함. Compromised agent는 통신하는 모든 agent의 신뢰를 상속받는 A2A contagion 특성을 반드시 고려해야 함.