AI 에이전트 보안: 프로덕션 에이전트 플릿을 위한 위협 모델
모든 AI 에이전트 프레임워크는 에이전트를 구축하는 도구를 제공합니다. 그러나 에이전트를 가두는 도구를 제공하는 것은 거의 없습니다. 에이전트가 API를 호출하고, 웹을 브라우징하고, 코드를 실행하고, 데이터베이스에 접근할 수 있을 때, 보안 질문은 무언가가 잘못될 수 있는지가 아니라 — 잘못될 때 폭발 반경이 어떻게 보이는지입니다.
AI 에이전트 보안은 탈취되거나, 잘못 구성되었거나, 잘못 행동하는 에이전트가 자격 증명을 유출하거나, 데이터를 외부로 빼내거나, 예산을 소진하거나, 권한을 에스컬레이션할 수 없도록 자율 에이전트를 제약하는 관행입니다. OpenLegion은 이를 부가 기능이 아닌 핵심 아키텍처 관심사로 취급합니다. 모든 에이전트는 볼트 프록시 자격 증명, 에이전트별 예산 통제, 권한 매트릭스와 함께 격리된 컨테이너에서 실행됩니다 — 모두 기본으로 활성화되어 있습니다.
본인의 LLM API 키를 가져오십시오. 모델 사용에 마크업이 없습니다.
AI 에이전트 보안이란 무엇입니까?
AI 에이전트 보안은 자율 AI 에이전트가 자격 증명 유출, 프롬프트 인젝션, 리소스 남용, 데이터 유출 또는 과도한 권한을 통해 해를 끼치는 것을 방지하는 통제를 포괄합니다. 인프라 수준에 적용되는 런타임 격리, 자격 증명 관리, 비용 시행, 권한 통제, 입력 검증을 포함합니다.
핵심 요약
- 위협은 실제입니다. 연구에 따르면 AI 배포가 있는 조직의 77%가 2024년에 보안 인시던트를 경험했습니다. AI 보안 조치에 자신감을 표하는 곳은 5%에 불과합니다.
- 네 가지 주요 위협: 자격 증명 유출, 프롬프트 인젝션, 리소스 남용(지갑 거부 공격), 데이터 유출. 각각 다른 완화 방법이 필요합니다.
- 어떤 주요 프레임워크도 내장 보안을 제공하지 않습니다. 공개 문서를 기준으로 LangGraph, CrewAI, AutoGen, OpenClaw는 모두 네이티브 격리나 예산 시행 없이 환경 변수에 의존해 자격 증명을 처리합니다.
- OpenLegion의 6계층 방어: 컨테이너 격리, 컨테이너 하드닝, 자격 증명 분리(볼트 프록시), 권한 시행, 입력 검증, 유니코드 새니타이즈 — 모두 기본으로 활성화.
- BYO 키로 안전한 AI 에이전트가 가능합니다 — 볼트 프록시 모델은 키가 신뢰 영역에 머물고, 에이전트는 원시 비밀을 절대 노출하지 않는 프록시를 통해 상호작용함을 의미합니다.
AI 에이전트의 위협 모델
위협 1: 자격 증명 유출
무엇이 일어나는가. API 키에 접근하는 에이전트가 — 환경 변수, 구성 파일 또는 인컨텍스트 전달을 통해 — 프롬프트 인젝션, 로깅, 오류 메시지 또는 악성 도구 호출을 통해 그 키를 유출합니다.
얼마나 흔한가. 2026년 초 발표된 연구에 따르면 스캔된 3,984개 에이전트 스킬 중 283개(7.1%)에 치명적인 자격 증명 처리 결함이 있었으며, API 키와 비밀번호를 평문으로 LLM 컨텍스트를 통해 전달했습니다. 별도로, 76개 스킬에 자격 증명 도용을 위해 의도적으로 설계된 악성 페이로드가 포함되어 있었습니다. 주목할 인시던트로는 xAI 직원이 GitHub에 API 키를 유출해 두 달 동안 60+ 비공개 LLM에 대한 접근을 제공한 사례, 그리고 인증되지 않은 엔드포인트를 통해 API 키를 노출한 인기 LLM 플랫폼의 취약점이 있습니다.
OpenLegion이 어떻게 완화하는가. OpenLegion은 볼트 프록시를 통한 볼트 프록시 자격 증명을 사용합니다. API 키는 Mesh Host(Zone 2)에 저장됩니다. 에이전트가 외부 API를 호출해야 할 때 요청은 볼트 프록시를 통해 라우팅되며, 프록시가 네트워크 레이어에서 자격 증명을 주입합니다. 에이전트는 원시 키를 보거나, 로깅하거나, 메모리로 접근할 수 없습니다. 완전히 탈취된 에이전트조차 자격 증명을 추출할 수 없는데, 자격 증명이 에이전트의 컨테이너에 존재하지 않기 때문입니다.
위협 2: 프롬프트 인젝션
무엇이 일어나는가. 공격자가 에이전트가 처리하는 콘텐츠 — 웹 페이지, 문서, 이메일, 데이터베이스 레코드, 사용자 입력 — 에 악성 명령을 삽입합니다. 에이전트는 의도된 작업 대신(또는 추가로) 주입된 명령을 따릅니다.
얼마나 흔한가. 프롬프트 인젝션은 보안 감사 중 평가된 프로덕션 AI 배포의 73%에서 나타납니다. OpenAI는 2025년 12월 프롬프트 인젝션이 "완전히 해결될 가능성은 낮다"고 밝혔습니다. OWASP는 이를 LLM 애플리케이션의 #1 취약점으로 평가합니다. 실제 인시던트로는 웹 페이지의 숨겨진 명령을 통해 150초 이내에 자격 증명을 훔치도록 속은 브라우저 에이전트, 공개 문서의 악성 콘텐츠가 에이전트로 하여금 독점 데이터를 유출하게 한 엔터프라이즈 RAG 시스템이 있습니다.
OpenLegion이 어떻게 완화하는가. OpenLegion은 여러 레이어에 걸쳐 심층 방어를 적용합니다. 유니코드 새니타이즈는 콘텐츠가 LLM 컨텍스트에 도달하기 전에 56개의 초크 포인트에서 보이지 않는 문자(bidi 오버라이드, tag 문자, 제로 너비 문자)를 제거합니다 — 이 문자들은 주입된 명령을 숨기는 데 흔히 사용됩니다. 입력 검증은 경로 탐색을 방지하고 안전한 조건 평가를 시행합니다. 컨테이너 격리는 폭발 반경을 제한합니다: 에이전트가 성공적으로 인젝션되더라도 자체 범위 권한이 있는 자체 샌드박스 컨테이너에만 접근할 수 있습니다. 다른 에이전트의 데이터, 자격 증명 볼트, 호스트 시스템에는 접근할 수 없습니다.
어떤 시스템도 프롬프트 인젝션에 대한 완전한 면역을 보장할 수 없습니다. OpenLegion의 접근 방식은 공격 표면을 최소화하고 피해를 가두는 것입니다.
위협 3: 리소스 남용 (지갑 거부 공격)
무엇이 일어나는가. 에이전트가 재귀 루프에 빠지거나, 과도한 API 호출을 하거나, 필요한 것보다 훨씬 많은 리소스를 소비하도록 조작됩니다. 멀티 에이전트 시스템에서는 이것이 복합됩니다 — 5에이전트 워크플로는 단일 에이전트의 5배 비용이 들고, 폭주 루프는 누군가 알아채기 전에 수 분 만에 수백 달러를 태울 수 있습니다.
얼마나 흔한가. 이는 OWASP LLM10:2025(무제한 소비)로 나열되어 있습니다. 대부분의 클라우드 청구 시스템은 예산이 초과될 때 자동으로 과금을 중단하지 않습니다 — 알림이 발생하지만 미터는 계속 돌아갑니다. CrewAI와 LangGraph 사용자의 커뮤니티 보고는 예상 예산의 10배를 소비한 토큰 소모 루프를 묘사합니다.
OpenLegion이 어떻게 완화하는가. 하드 컷오프가 있는 에이전트별 일별 및 월별 예산 통제. 플릿의 각 에이전트는 실시간으로 추적되는 자체 토큰 예산을 가집니다. 한도에 도달하면 오케스트레이션 레이어가 그 특정 에이전트를 정지시킵니다. 워크플로의 나머지는 계속되거나 우아하게 일시 중지합니다. 무시되는 "소프트 경고"가 없습니다 — 컷오프는 인프라 수준에서 시행됩니다.
위협 4: 데이터 유출
무엇이 일어나는가. 에이전트가 공격자가 제어하는 엔드포인트로 민감한 데이터를 보내도록 조작됩니다. 기법에는 다음이 포함됩니다: URL 파라미터에 데이터를 인코딩하도록 에이전트에 지시(로깅되거나 링크 미리보기를 통해 전송됨), 공격자가 제어하는 페이지를 방문하기 위해 에이전트의 브라우저 사용, 외부 API로 데이터를 전달하기 위해 도구 호출을 악용.
얼마나 흔한가. 제로 클릭 유출 기법은 메시징 플랫폼(링크 미리보기가 URL을 자동으로 가져옴), 엔터프라이즈 협업 도구, 코드 저장소에서 운영되는 에이전트에 대해 시연되었습니다. 뱅킹 에이전트에 대한 연구는 데이터 유출 공격의 약 20% 성공률을 보여주었습니다.
OpenLegion이 어떻게 완화하는가. 컨테이너 레벨 네트워크 격리는 각 에이전트가 도달할 수 있는 외부 엔드포인트를 제한합니다. 권한 매트릭스는 에이전트별로 허용된 도구, 파일, 메시 작업을 정의합니다. 아웃바운드 요청은 통제된 채널을 통해 라우팅됩니다. 자격 증명 격리(에이전트에 유출할 자격 증명이 없음)와 플릿 모델 조율(모든 행동을 로깅함)과 결합되어, 무제한 네트워크 접근이 있는 공유 프로세스 공간에서 실행되는 에이전트에 비해 유출 공격 표면이 크게 감소합니다.
위협 5: 샌드박스 탈출
무엇이 일어나는가. 에이전트 또는 실행된 코드가 컨테이너를 탈출해 호스트 시스템, 다른 컨테이너 또는 오케스트레이션 레이어에 접근합니다. 컨테이너 탈출 취약점은 정기적으로 발견됩니다 — 2025년 11월 주요 클라우드 제공자 전반의 Docker와 Kubernetes에 영향을 미치는 여러 고심각도 runC CVE가 공개되었습니다.
OpenLegion이 어떻게 완화하는가. 컨테이너 하드닝: 비루트 실행(UID 1000), no-new-privileges 플래그, 구성 가능한 메모리 한도(기본 384MB), 구성 가능한 CPU 한도(기본 0.15), 컨테이너 간 공유 파일시스템 없음. 각 에이전트는 자체 /data 볼륨을 받습니다. 4 영역 신뢰 모델(오퍼레이터 또는 내부 티어 포함)은 에이전트가 컨테이너를 탈출하더라도 자격 증명 볼트나 다른 에이전트의 컨테이너에 직접 접근할 수 없는 영역에 도달함을 의미합니다. 더 강력한 격리가 필요한 환경의 경우, 아키텍처는 Docker Sandbox microVM을 지원합니다.
위협 6: 공급망 공격
무엇이 일어나는가. 악성 코드가 에이전트 스킬, MCP 도구 서버, 공유 구성 또는 프레임워크 의존성을 통해 도입됩니다. 합법적인 서비스를 사칭하는 악성 MCP 서버가 npm에서 발견되었습니다. 크라우드소싱된 구성 파일이 숨겨진 LLM 트리거 프롬프트로 무기화되었습니다.
OpenLegion이 어떻게 완화하는가. OpenLegion은 외부 프레임워크 의존성을 사용하지 않습니다 — LangChain도, Redis도, Kubernetes도 없습니다. 코어는 순수 Python + SQLite입니다. MCP 도구 서버는 지원되지만 권한 매트릭스를 통해 샌드박스화됩니다. 플릿 모델 조율은 도구 호출이 런타임에 동적으로 검색되는 것이 아니라 워크플로 정의에서 명시적으로 선언됨을 의미합니다 — 예기치 않은 도구 인젝션의 표면을 줄입니다.
OpenLegion에서 AI 에이전트 격리가 작동하는 방식
OpenLegion의 4 영역 신뢰 모델과 오퍼레이터 또는 내부 티어는 모든 배포를 별개의 보안 경계로 분리합니다:
Zone 0 — 신뢰할 수 없는 외부 입력. 사용자나 서드파티에서 도착하는 모든 것: CLI, Telegram, Discord, Slack, WhatsApp, 웹훅 엔드포인트. 입력은 Zone 2에 진입하기 전에 프롬프트 인젝션 가드를 통해 검증되고 새니타이즈됩니다.
Zone 1 — 샌드박스 에이전트 컨테이너 (신뢰할 수 없음). 각 에이전트는 자체 Docker 컨테이너에서 격리된 FastAPI 인스턴스로 실행됩니다. 각 컨테이너는 자체 /data 볼륨, 자체 메모리 데이터베이스(SQLite + 벡터 검색), 구성 가능한 리소스 한도(기본 384MB RAM / 0.15 CPU), 비루트 실행(UID 1000), cap_drop=ALL, no-new-privileges, 읽기 전용 루트 파일시스템, Docker 소켓, 자격 증명 볼트 또는 다른 에이전트 컨테이너에 대한 접근 없음을 가집니다.
Zone 2 — Mesh Host (신뢰됨). 자격 증명에 접근 권한이 있는 유일한 컴포넌트. 블랙보드(공유 상태 + WAL), PubSub 라우터, 자격 증명 볼트(블라인드 주입 프록시), ACL 매트릭스, 컨테이너 매니저, 비용 트래커, 브라우저 서비스(:8500의 에이전트별 Camoufox)를 실행합니다. 이 영역은 하드닝되어 있으며 에이전트 코드에 노출되지 않습니다.
Zone 2.5 — 오퍼레이터 또는 내부. 오퍼레이터 에이전트 또는 내부 메시 도구에서 사용 가능한 예약된 컨트롤 플레인 작업 — 플릿 관리, 에이전트 편집, 권한 부여(오퍼레이터는 can_spawn 또는 can_use_wallet을 부여할 수 없음).
Zone 3 — 루프백 전용 내부. 가장 제한된 티어: x-mesh-internal: 1 헤더와 루프백 소스 IP를 모두 요구하는 엔드포인트. 메시 내부 조율 호출에만 사용됩니다.
이 아키텍처는 Zone 1의 탈취된 에이전트가 Zone 2(자격 증명) 또는 다른 Zone 1 컨테이너(다른 에이전트의 데이터)에 도달할 수 없음을 의미합니다. 단일 에이전트 탈취의 폭발 반경은 그 에이전트의 샌드박스로 가둬집니다.
AI 에이전트 자격 증명 관리: 볼트 프록시 vs 환경 변수
AI 에이전트 프레임워크 전반에서 가장 흔한 자격 증명 관리 패턴은 환경 변수입니다. API 키가 .env 파일에 있거나 OAI_CONFIG_LIST를 통해 전달됩니다. 에이전트 프로세스가 이를 직접 읽습니다. 이는 다음을 의미합니다:
- 키가 에이전트의 메모리 공간에 존재합니다
- 프롬프트 인젝션 공격은 에이전트에게 키를 출력하거나 유출하도록 지시할 수 있습니다
- 로그, 오류 메시지, 디버그 출력에 키가 포함될 수 있습니다
- 에이전트가 탈취되면 공격자는 주입된 모든 자격 증명에 직접 접근합니다
OpenLegion의 볼트 프록시는 이 아키텍처를 근본적으로 바꿉니다. API 키는 Mesh Host의 자격 증명 볼트(Zone 2)에 저장됩니다. 에이전트가 인증된 API 호출을 해야 할 때, 볼트 프록시에 요청을 보냅니다. 프록시는 네트워크 레이어에서 자격 증명을 주입하고, 인증된 호출을 만들며, 에이전트에 결과를 반환합니다. 에이전트는 원시 키를 보거나, 저장하거나, 메모리로 접근할 수 없습니다.
이것이 볼트 프록시 자격 증명입니다 — HashiCorp Vault 같은 엔터프라이즈 비밀 관리 시스템이 사용하는 동일한 원리이지만, 별도 인프라를 요구하는 대신 AI 에이전트 오케스트레이션 레이어에 내장되어 있습니다.
컨테이너화된 AI 에이전트: 프로세스 레벨 격리로 충분하지 않은 이유
여러 프레임워크가 일종의 격리를 제공하지만, 구현 세부 사항이 중요합니다:
| 프레임워크 | 격리 접근 방식 | 실제로 격리되는 것 | 공유되는 것 |
|---|---|---|---|
| OpenLegion | 에이전트당 Docker 컨테이너(필수) | 프로세스, 파일시스템, 네트워크, 메모리, 자격 증명 | 없음 — 에이전트가 완전히 격리됨 |
| OpenClaw | Docker 컨테이너(선택) | 프로세스, 파일시스템 | Docker 소켓 기본 마운트; 호스트 네트워크 접근 가능 |
| LangGraph | 내장 없음 | 해당 없음 | 모든 것 — 에이전트가 Python 프로세스를 공유 |
| CrewAI | CodeInterpreter용 Docker | 코드 실행 출력 | 에이전트 프로세스가 Python 런타임 공유 |
| AutoGen | 코드 실행용 Docker | 코드 실행 출력 | 에이전트 프로세스가 Python 런타임 공유 |
핵심 구분: OpenLegion은 에이전트 자체를 컨테이너에서 격리합니다. Docker 격리를 제공하는 다른 프레임워크는 일반적으로 코드 실행 출력만 격리합니다 — 에이전트 프로세스, 그 메모리, 자격 증명 접근은 여전히 공유됩니다. 이는 LangGraph 또는 CrewAI에서 에이전트를 탈취하는 프롬프트 인젝션이 공유 프로세스의 모든 자격 증명과 상태에 접근할 수 있음을 의미합니다. OpenLegion에서 동일한 탈취는 자격 증명 접근이 없는 단일 샌드박스 컨테이너로 가둬집니다.
AI 에이전트 비용 통제: 보안으로서의 예산 시행
비용 통제는 단지 재무 거버넌스가 아닙니다 — 보안 메커니즘입니다. 무제한 토큰을 소비하는 폭주 에이전트는 악성 프롬프트 인젝션에 의해 트리거되든 에이전트의 추론 루프의 단순한 버그에 의해 트리거되든 리소스 남용 공격입니다.
OpenLegion의 예산 시행은 오케스트레이터 수준에서 작동합니다:
- 각 에이전트는 구성 가능한 일별 및 월별 토큰 예산을 가집니다
- 토큰 사용은 Zone 2의 비용 트래커가 실시간으로 추적합니다
- 에이전트가 한도에 도달하면 오케스트레이터가 하드 컷오프를 발행합니다 — 에이전트가 정지됩니다
- 워크플로 파이프라인의 나머지는 계속되거나 우아하게 일시 중지합니다
- 비용 데이터는 에이전트별 분석과 함께 플릿 대시보드에서 볼 수 있습니다
작성 시점의 공개 문서를 기준으로 어떤 다른 주요 AI 에이전트 프레임워크도 이 기능을 내장하여 제공하지 않습니다.
컴플라이언스 및 감사 고려사항
OpenLegion은 다음을 포함한 컴플라이언스 통제를 요구하는 환경을 위해 설계되었습니다:
- 요청 추적: 감사 가능한 플릿 모델 조율은 모든 워크플로 단계가 명시적이고 추적 가능함을 의미합니다. 내장 요청 추적 시스템은 실시간 관측 가능성을 위해 작업 전환, 도구 호출, 토큰 지출을 기록합니다. 블랙보드(공유 상태)는 에이전트 전반의 조율 컨텍스트를 제공합니다.
- 감사 가능한 플릿 모델 조율: 플릿 모델 조율(블랙보드 + pub/sub + 핸드오프)은 실행 전에 감사할 수 있습니다 — 시스템을 실행하지 않고 데이터, 권한, 에이전트 상호작용의 완전한 흐름을 검증할 수 있습니다.
- 데이터 격리: 전용
/data볼륨이 있는 에이전트별 컨테이너는 한 에이전트가 처리한 민감한 데이터가 다른 에이전트에 접근 가능하지 않도록 보장합니다. - 에어 갭 지원: 외부 서비스 없음(Redis 없음, Kubernetes 없음, 클라우드 서비스 필요 없음)은 OpenLegion이 온프레미스 환경에서 실행될 수 있음을 의미합니다.
중요: OpenLegion은 현재 SOC 2, ISO 27001, HIPAA 또는 기타 컴플라이언스 인증을 보유하고 있지 않습니다. 아키텍처는 이러한 요구사항이 있는 환경을 지원하도록 구축되어 있지만, 인증은 단지 프레임워크가 아닌 배포, 구성, 조직 통제의 함수입니다.
기본으로 안전한 에이전트를 배포하십시오.
자주 묻는 질문
AI 에이전트 보안이란 무엇을 의미합니까?
AI 에이전트 보안은 자율 AI 에이전트가 자격 증명 유출, 프롬프트 인젝션, 리소스 남용, 데이터 유출, 샌드박스 탈출 또는 과도한 권한을 통해 해를 끼치는 것을 방지하는 통제 집합입니다. 런타임 격리(에이전트 샌드박싱), 자격 증명 관리(키 노출 방지), 비용 시행(폭주 지출 정지), 권한 통제(에이전트가 할 수 있는 일 제한), 입력 검증(악성 입력 필터링)에 걸쳐 있습니다.
API 키로 AI 에이전트를 어떻게 안전하게 보호합니까?
가장 안전한 접근 방식은 볼트 프록시 자격 증명입니다: 에이전트가 직접 접근할 수 없는 볼트에 API 키를 저장합니다. 에이전트가 인증된 호출을 해야 할 때 요청은 네트워크 레이어에서 자격 증명을 주입하는 프록시를 통해 라우팅됩니다. 에이전트는 원시 키를 절대 보지 않습니다. OpenLegion은 4 영역 신뢰 모델(오퍼레이터 또는 내부 티어 포함)의 Zone 2에 있는 볼트 프록시를 통해 이를 구현합니다. 가장 안전하지 않은(그리고 가장 흔한) 접근 방식은 환경 변수입니다. 키가 에이전트의 메모리에 존재하며 프롬프트 인젝션, 로깅 또는 오류 출력을 통해 유출될 수 있습니다.
AI 에이전트 격리는 어떻게 작동합니까?
에이전트 격리는 각 에이전트를 자체 샌드박스 환경에서 실행하는 것을 의미합니다 — 별도의 프로세스, 파일시스템, 네트워크 네임스페이스, 메모리 공간. OpenLegion에서 각 에이전트는 구성 가능한 리소스 한도(기본 384MB RAM, 0.15 CPU), 비루트 실행, 공유 파일시스템 없음을 갖춘 전용 Docker 컨테이너에서 실행됩니다. 이는 탈취된 에이전트가 다른 에이전트의 데이터, 자격 증명 볼트 또는 호스트 시스템에 접근할 수 없음을 의미합니다. 이는 에이전트가 Python 프로세스를 공유하며 서로의 메모리에 접근할 수 있는 프레임워크와 다릅니다.
왜 AI 에이전트에 예산 / 비용 통제가 필요합니까?
자율 에이전트는 재귀 루프에 빠지거나, 과도한 API 호출을 하거나, 필요한 것보다 훨씬 많은 리소스를 소비하도록 조작될 수 있습니다. 예산 통제 없이는 단일 폭주 에이전트가 수 분 만에 토큰으로 수백 달러를 소진할 수 있습니다. 멀티 에이전트 시스템에서는 이것이 복합됩니다 — 각 에이전트가 위험을 곱합니다. OpenLegion은 오케스트레이터 수준에서 하드 컷오프와 함께 에이전트별 일별 및 월별 예산을 시행하여 단일 에이전트가 무제한 비용을 발생시키는 것을 방지합니다.
BYO 키로 안전한 AI 에이전트가 가능합니까?
가능합니다. BYO(Bring Your Own) 키 모델은 적절한 아키텍처가 있으면 실제로 더 안전합니다. OpenLegion에서 키는 Mesh Host의 자격 증명 볼트에 저장되고 네트워크 레이어에서 볼트 프록시를 통해 주입됩니다. 에이전트는 원시 키를 절대 보지 않습니다. 이는 완전한 비용 투명성(각 에이전트가 각 제공자에 얼마를 지출하는지 정확히 봄), 제공자 유연성(에이전트별로 모델 교체), 사용하는 제공자에 관계없이 동일한 자격 증명 격리 보장을 제공합니다. 본인의 LLM API 키를 가져오십시오. 모델 사용에 마크업이 없습니다.
AI 에이전트를 위한 OWASP Top 10이란 무엇입니까?
OWASP는 2025년 12월 Agentic Applications를 위한 Top 10을 발표했습니다. #1 위험은 에이전트 목표 하이재킹 — 공격자가 에이전트를 조작해 사용자가 의도한 것과 다른 목표를 추구하게 만드는 것입니다. 다른 주요 위험으로는 자격 증명 유출, 과도한 권한(범위를 넘어선 행동을 취하는 에이전트), 공급망 취약점(악성 도구 또는 플러그인)이 있습니다. OpenLegion은 볼트 프록시 자격 증명, 컨테이너 격리, 권한 매트릭스, 플릿 모델 조율(블랙보드 + pub/sub + 핸드오프)을 통해 이를 해결합니다.
OpenLegion은 보안 측면에서 OpenClaw와 어떻게 비교됩니까?
공개 문서를 기준으로 OpenLegion은 더 엄격한 보안 기본값을 제공합니다. OpenClaw의 기본 로컬 배포는 Docker 소켓 마운팅(광범위한 호스트 접근 부여)을 요구하며, 보안 분석기는 일관된 활성화에 대해 보고된 문제가 있었고, 에이전트 프로세스에서 접근 가능한 구성에 자격 증명을 저장합니다. OpenLegion은 필수 격리 컨테이너에서 에이전트를 실행하고, 볼트 프록시 자격 증명을 위해 볼트 프록시를 사용하며, 에이전트별 예산을 시행하고, 다중 초크 포인트에서 유니코드 새니타이즈를 적용합니다. 상세 비교는 OpenLegion vs OpenClaw를 참조하십시오.
AI 에이전트에 어떤 컴플라이언스 프레임워크가 적용됩니까?
주요 프레임워크에는 OWASP Top 10 for LLM Applications(2025) 및 Agentic Applications(2026), NIST AI Risk Management Framework(향후 AI Agent Standards 포함), ISO/IEC 42001(AI 관리 시스템), EU AI Act(2026년 8월 시행 시작), 도메인에 따라 HIPAA, SOC 2, SOX 같은 산업별 규제가 포함됩니다. OpenLegion의 아키텍처는 이러한 통제를 요구하는 환경을 위해 설계되었지만 자체적으로 인증을 보유하고 있지는 않습니다.
포함할 내부 링크
| 앵커 텍스트 | 대상 |
|---|---|
| AI 에이전트 플랫폼 | /learn/ai-agent-platform |
| AI 에이전트 오케스트레이션 | /learn/ai-agent-orchestration |
| AI 에이전트 프레임워크 비교 | /learn/ai-agent-frameworks |
| AI 에이전트 보안 | /learn/ai-agent-security |
| OpenClaw 대안 | /openclaw-alternative |
| OpenLegion vs OpenClaw | /comparison/openclaw |
| 문서 | /docs |
| GitHub | https://github.com/openlegion-ai/openlegion |