AI 에이전트의 위험한 셸 명령, Exec Approvals로 완벽 통제

Context

AI 에이전트가 호스트 머신에서 임의의 셸 명령을 실행할 때 발생하는 보안 위협 존재. 기존 Tool Policy와 Sandboxing만으로는 실제 하드웨어 접점의 최종 실행 단계 제어가 어려움. 의도하지 않은 파괴적 명령 실행을 방지할 최후의 안전 장치 필요.

Technical Solution

• 호스트 머신 로컬에서 명령 실행 직전 단계에 개입하는 Exec Approvals 계층 설계
• Security Mode(deny, allowlist, full)와 Ask Mode(off, on-miss, always)의 조합을 통한 세밀한 실행 권한 제어
• 에이전트별 독립적인 allowlist 운영 및 Glob 패턴 기반의 바이너리 경로 검증 방식 채택
• stdin/stdout 기반의 단순 도구들을 위한 Safe Bins 설정을 도입하여 운영 마찰 최소화
• Safe Bins 대상의 Positional Argument 거부 및 특정 위험 플래그(예: sort -o, grep -r) 차단 로직 구현
• Tool Policy, Sandboxing, Elevated Mode, Exec Approvals로 이어지는 다층 방어(Defense-in-Depth) 아키텍처 구축

Key Takeaway

단일 보안 계층에 의존하지 않고 실행 환경의 최하단(Host)에서 최종 승인 단계를 두는 계층적 방어 전략의 중요성. 신뢰 경계를 로컬 호스트 단위로 설정하여 클라우드나 추론 루프와 분리함으로써 보안 무결성 확보.