부록 · Trustworthy Agents in Practice
원문: Anthropic — Trustworthy Agents in Practice (2026-04-09) 자율 에이전트가 늘면서 새로 생기는 두 가지 위험(의도 오독·prompt injection)을 어떻게 다룰지에 대한 Anthropic의 5가지 원칙 프레임워크. 본문 전문은 원문 링크에서 읽고, 이 부록 페이지는 워크숍에서 짚을 핵심만 한 화면에 모았습니다.
🇰🇷 한국어 정리
한 문장 요약
에이전트는 자율적으로 행동하는 만큼 사용자 의도를 잘못 읽거나 prompt injection(에이전트가 읽는 자료 안에 숨겨놓은 악의적 지시문) 공격에 노출될 위험이 커집니다. Anthropic은 2025년 8월에 발표한 신뢰할 수 있는 에이전트 프레임워크(5가지 원칙)를 실전에서 어떻게 적용하는지 풀이합니다.
다섯 가지 원칙
- 사람의 통제를 유지하는 것 (keeping humans in control)
- 사람의 가치와 정렬되는 것 (aligning with human values)
- 에이전트의 상호작용을 보안하는 것 (securing agents’ interactions)
- 투명성을 유지하는 것 (maintaining transparency)
- 프라이버시를 보호하는 것 (protecting privacy)
에이전트의 네 구성요소
원문에서 정의하는 에이전트는 자기주도 루프(계획→실행→관찰→조정→반복)를 도는 AI 모델이고, 네 가지 부품으로 이뤄집니다.
| 구성요소 | 무엇인가 |
|---|---|
| 모델 (model) | 작업을 가능케 하는 “지능”. 학습으로 형성된 지식·추론·행동 |
| 하네스 (harness) | 모델이 따르는 지시문(instruction)과 가드레일 |
| 도구 (tools) | 메일·캘린더·비용 처리 같은 외부 서비스·애플리케이션 |
| 환경 (environment) | 에이전트가 실행되는 곳, 접근할 수 있는 파일·웹사이트·시스템 |
원칙이 실전에서 어떻게 모양을 가지는가
원문에서 짚는 세 가지 적용 자리를 짧게 옮깁니다.
① 사람의 통제를 설계로 보장하기 (Designing for Human Control)
- 사용자가 도구별로 권한을 직접 설정.
- Claude Code의 Plan Mode(행동을 시작하기 전 전체 계획을 보여주고 사용자 승인을 받는 모드) — 행동 하나하나 승인 대신, 의도한 계획 전체를 먼저 보여주고 검토·편집·승인.
- 서브에이전트 협업이 늘면서 워크플로우 가시성을 어떻게 유지할지를 탐색 중.
② 에이전트가 자신의 목표를 이해하도록 돕기 (Helping Agents Understand Their Goals)
- “불확실할 때 멈춰서 명확화를 요청한다” — 학습 시나리오에서 가정보다 멈춤을 강화.
- Claude의 헌법(Constitution · Claude가 답할 때 따르는 기본 원칙 문서)이 “우려 제기·명확화 요청·진행 거부”를 가정에 의한 행동보다 위에 둡니다.
- 연구 결과 — 복잡한 작업에서 Claude가 사용자에게 확인하러 들어오는 빈도가 단순한 작업에 비해 약 두 배.
③ 공격에 대한 방어 (Defending Against Attacks)
- prompt injection — 에이전트가 처리할 콘텐츠 안에 숨겨진 악의적 지시문.
- 여러 층의 방어 — 모델 학습 단계의 패턴 인식 + 운영 트래픽 모니터링 + 외부 레드팀 테스트.
- “이런 안전장치는 보장이 아닙니다” — 어떤 도구·데이터·권한·환경을 에이전트에 주는지 고객이 신중히 정해야 합니다.
생태계 차원의 세 가지 과제
| 영역 | 요지 |
|---|---|
| 벤치마크 (Benchmarks) | prompt injection 저항성·불확실성 표면화에 대한 표준화된 비교 기준 부재. NIST(미국 국립표준기술연구소) 같은 표준 기구의 역할 필요 |
| 근거 공유 (Evidence sharing) | 에이전트가 어디서 막히는지 더 많은 개발자가 데이터를 공유해야 정책 입안자에게 충실한 그림이 잡힘 |
| 개방형 표준 (Open standards) | Model Context Protocol(MCP · 외부 도구·데이터를 LLM에 한 줄로 붙여 쓰게 해 주는 개방형 규격)을 Linux Foundation의 Agentic AI Foundation에 기증 — 보안 속성을 인프라 단에서 한 번 설계 |
워크숍 매핑
이 글의 4-컴포넌트 모델과 5가지 원칙이 우리 워크숍의 어떤 자리와 닿는지 짧게 짚어 둡니다.
| Anthropic 5원칙 / 컴포넌트 | 우리 워크숍에서 대응되는 자리 |
|---|---|
| 4-컴포넌트 (모델·하네스·도구·환경) | 에이전트란 무엇일까?의 “에이전트 = 모델 + 도구 + 환경” 정의와 직접 매핑 |
| 사람의 통제 (Plan Mode·권한) | 저장소 셋팅의 .claude/settings.json(권한 설정)과 Claude Code의 Plan Mode 흐름 |
| 명확화 요청 (가정보다 멈춤) | /쓰기가 두 질문만 던지는 패턴 — 3원칙 단원에서 “AI가 첫 줄을 대신 써주면 학습 효과가 무너진다”와 같은 결의 메타 룰 |
| 프롬프트 인젝션 방어 | 본인 학습 저장소를 공개로 두지 않는 이유와 직접 연결 — 지식 대시보드 뉴스레터의 v1 셋업 노트 |
| MCP를 개방형 표준으로 기증 | 워크숍에서 쓰는 MCP 도구들이 그 결과 — .mcp.json으로 도구를 한 줄로 붙여 쓰는 동작 |
원문은 안전·거버넌스 관점의 산업 차원 글이고, 우리 워크숍은 개인 학습 차원의 인스턴스화입니다. 같은 원칙이 두 스케일에서 어떻게 다르게 적용되는지 비교해 보면 본인 v1의 권한·범위·자율성을 정하는 데 손잡이가 됩니다.
→ 본문 단원으로 돌아가기: 에이전트란 무엇일까? · 저장소 셋팅 → 원문 전문: Anthropic — Trustworthy Agents in Practice
Last updated on