피드로 돌아가기
"Co-authored-by: Copilot" Is Not an Audit Trail — Here's What One Actually Looks Like
Dev.toDev.to
Security

Commit-time Labeling 한계를 극복한 Insertion-time Provenance 아키텍처

"Co-authored-by: Copilot" Is Not an Audit Trail — Here's What One Actually Looks Like

Praveen2026년 6월 13일6advanced

Context

Git Commit Message에 'Co-authored-by' 태그를 추가하는 방식의 단순 Attribution 구조 설계. 생성 시점의 Prompt, Model 파라미터, Raw Response 등 핵심 메타데이터가 유실되어 보안 감사 시 추적 불가능한 Traceability 공백 발생.

Technical Solution

  • 코드 삽입 시점에 이벤트를 캡처하는 Insertion-time Provenance 아키텍처 도입
  • ProviderAgnosticProvenanceEvent 스키마를 통한 모델-프롬프트-응답-디프의 구조적 기록
  • 10개의 Capability Slots를 정의하여 데이터의 존재 여부를 'provided', 'missing', 'unknown'으로 명시적 관리
  • IDE Shim과 Proxy 계층을 활용하여 HTTP Header의 모델 정보와 Buffer의 삽입 텍스트를 실시간 매핑
  • 단순 라벨링이 아닌 Schema Versioning 기반의 감사 로그(Audit Trail) 구축

1. AI 생성 코드의 감사 추적 시 '누가'가 아닌 '어떤 프롬프트와 모델'이 사용되었는지 기록하는지 검토

2. 데이터 누락 여부를 명시적으로 선언하는 Gap Declaration 체계 도입 여부 확인

3. EU AI Act 등 컴플라이언스 대응을 위해 모델 이름, 파라미터, 요청 ID를 포함한 Provenance 레코드 설계 고려

원문 읽기