에이전트 최소 권한 설계 ALARA 원칙을 적용한 포터블 멀티에이전트 팀

초록

본 논문은 방사선 안전의 ALARA 원칙을 에이전트 컨텍스트에 적용해, 선언형 CAT(Context‑Agent‑Tool) 데이터 레이어와 명령줄 셸 npcsh를 제안한다. CAT는 컨텍스트 파일, NPC 파일, Jinx(템플릿) 파일로 구성돼 각 에이전트의 도구 접근을 최소 권한으로 제한하고, 구조적으로 검증·강제한다. 22개의 로컬 모델(0.6B‑35B)과 115개의 실용 과제(파일 조작, 웹 검색, 툴 체이닝, 다중 에이전트 위임 등)에서 벤치마크를 수행해 모델군별 성공 패턴과 실패 원인을 2 530회 실행 로그를 통해 분석한다.

상세 분석

이 연구는 기존 멀티에이전트 프레임워크가 프로세스 설명 파일, 내부 설정, MCP 서버 등 서로 다른 매커니즘에 행동 사양을 분산시켜 일관성·감사 가능성을 저해한다는 문제를 정확히 짚는다. 특히 “프롬프트 기반 도구 호출”이 모델의 컨텍스트 한계와 주의력 희석에 취약해 과도한 권한 부여가 프롬프트 인젝션 공격 표면을 확대한다는 보안 관점을 강조한다. 저자들은 이러한 문제를 해결하기 선언형 CAT 레이어를 설계했으며, 핵심은 세 종류의 파일 간 DAG(Directed Acyclic Graph) 구조를 만든다.

• Context 파일은 팀‑레벨에서 오케스트레이터와 서브팀을 정의해, 에이전트가 필요로 하는 공유 리소스와 스코프를 명시한다.
• NPC 파일은 개별 에이전트를 모델·프로바이더와 Jinx(툴) 리스트로 선언한다. Jinx 리스트는 실제 사용 가능한 툴 카탈로그이자 권한 집합이며, 선언되지 않은 툴은 스키마에 존재하지 않으므로 모델이 절대로 호출할 수 없게 만든다. 이는 “least‑privilege”를 구조적으로 강제하는 가장 강력한 메커니즘이다.
• Jinx는 YAML 기반 템플릿으로, 이름·설명·입력 타입·실행 단계(엔진: python, bash, llm, 다른 Jinx)를 정의한다. 단계별로 Jinja 템플릿을 렌더링해 실행 흐름을 결정하므로, 복잡한 툴 체이닝도 단일 DAG로 표현된다. Jinx는 모델 종류와 무관하게 프롬프트 기반 호출만으로 동작하므로 0.6B 수준의 로컬 모델도 동일한 툴 체인을 활용할 수 있다.
  이 설계는 자동화 수준과 사용자 제어를 Jinx 리스트 수정만으로 조정 가능하게 만든다. 예를 들어, 위임 Jinx를 포함하고 넓은 툴 리스트를 부여하면 높은 자율성을, 제한된 리스트만 두면 낮은 자율성을 제공한다. 또한, 스킬(교육용 콘텐츠)도 Jinx 형태로 정의해 에이전트가 메서드 문서를 토큰 예산 내에서 부분적으로 로드하도록 함으로써 컨텍스트 효율성을 높인다.
  벤치마크에서는 22개 모델을 115개 과제에 적용해 성공률, 툴 호출 횟수, 실행 시간 등을 기록했으며, 클라우드 프론트엔드 모델(GPT‑4o 등)은 90% 이상을 달성해 선언형 스캐폴딩이 모델 성능을 억제하지 않음을 증명한다. 모델군 간 차이는 파라미터 수보다 툴 사용 훈련 데이터의 차이가 더 큰 영향을 미친다는 점을 발견했다. 즉, 툴 사용 능력이 모델 아키텍처와는 별개로 독립적인 성능 요인임을 실증했다.