LLM Agent의 Lethal Trifecta 취약점 분석 및 Generic Guard 구현

Context

Private Data 보유, Untrusted Content 처리, Unrestricted External Communication이라는 세 가지 요소가 결합된 'Lethal Trifecta' 보안 모델의 취약성을 분석함. OS 사용자 레벨의 격리 부재와 권한 제어 없는 MCP 서버 기반의 Multi-agent 구조로 인해 외부 입력이 내부 데이터 유출로 이어질 수 있는 설계적 한계 노출.

Technical Solution

• Grep 기반의 Aggressive Filter를 적용하여 Wallet 주소 및 위험 패턴이 포함된 Outbound 메시지 차단
• XML Tool-call Marker와 Shell-escape 패턴을 정의한 Denylist 기반의 Per-tool Guard 설계
• 개별 도구의 가드 로직을 ops/outbound_text_guard.py로 추상화하여 다양한 Publish 채널에 Generic Guard로 전파
• Signal-only Protocol을 통해 브리지 메시지는 상태 핑으로 제한하고 실제 결과물은 Git Hash를 통한 파일 검증 방식으로 무결성 확보
• Operator Confirmation 프로세스를 도입하여 신뢰가 필요한 작업 시 Telegram 브리지의 특정 메시지 수신을 필수 조건으로 설정
• Post-fact Log Diffing 기법으로 모든 전송 작업의 이력을 기록하고 일일 대조를 통해 비정상 동작 탐지