피드로 돌아가기
Dev.toSecurity
원문 읽기
Commit-time Labeling 한계를 극복한 Insertion-time Provenance 아키텍처
"Co-authored-by: Copilot" Is Not an Audit Trail — Here's What One Actually Looks Like
AI 요약
Context
Git Commit Message에 'Co-authored-by' 태그를 추가하는 방식의 단순 Attribution 구조 설계. 생성 시점의 Prompt, Model 파라미터, Raw Response 등 핵심 메타데이터가 유실되어 보안 감사 시 추적 불가능한 Traceability 공백 발생.
Technical Solution
- 코드 삽입 시점에 이벤트를 캡처하는 Insertion-time Provenance 아키텍처 도입
ProviderAgnosticProvenanceEvent스키마를 통한 모델-프롬프트-응답-디프의 구조적 기록- 10개의 Capability Slots를 정의하여 데이터의 존재 여부를 'provided', 'missing', 'unknown'으로 명시적 관리
- IDE Shim과 Proxy 계층을 활용하여 HTTP Header의 모델 정보와 Buffer의 삽입 텍스트를 실시간 매핑
- 단순 라벨링이 아닌 Schema Versioning 기반의 감사 로그(Audit Trail) 구축
실천 포인트
1. AI 생성 코드의 감사 추적 시 '누가'가 아닌 '어떤 프롬프트와 모델'이 사용되었는지 기록하는지 검토
2. 데이터 누락 여부를 명시적으로 선언하는 Gap Declaration 체계 도입 여부 확인
3. EU AI Act 등 컴플라이언스 대응을 위해 모델 이름, 파라미터, 요청 ID를 포함한 Provenance 레코드 설계 고려