앤스로픽, Claude 에이전트 폭발 반경 봉쇄 엔지니어링 글 공개
앤스로픽이 자사 엔지니어링 블로그에 Claude 에이전트의 '폭발 반경(blast radius)'을 봉쇄하는 방법을 정리한 글을 공개했다. 12개월 전이라면 Claude에 앤스로픽 내부 서비스를 다운시킬 수 있는 접근 권한을 주는 일을 단호히 거부했겠지만, 현재는 그 수준의 접근이 일상이 됐고 사내 개발 생산성도 그 덕에 올랐다고 회사는 밝혔다.
에이전트 배포의 위험은 실패 가능성과 한 번 실패했을 때의 피해 규모 두 가지로 쪼개진다. 안전장치와 모델 훈련이 진전되며 첫 번째는 꾸준히 낮아졌지만, 폭발 반경 자체는 모델의 능력과 접근 권한이 넓어질수록 커진다. 앤스로픽은 이런 흐름에서 엔지니어링 과제가 결국 폭발 반경을 어떻게 제한하느냐로 좁혀진다고 봤다.
회사는 폭발 반경을 막는 방법을 두 갈래로 정리했다. 첫째는 매 동작에 사용자 허가를 받는 human-in-the-loop 감독이다. Claude Code의 권한 프롬프트가 그 예인데, 텔레메트리상 사용자가 약 93%를 그대로 승인했다고 한다. 승인 횟수가 늘수록 한 번 한 번에 기울이는 주의가 줄어드는 '승인 피로'가 생긴다는 진단이다. 최근 출시된 Claude Code auto mode는 더 안전한 승인을 자동화해 이 피로를 줄이는 장치다.
둘째는 봉쇄(containment)다. 에이전트가 '무엇을 하는지' 감독하는 대신 sandbox·VM·egress 통제 같은 접근 경계로 '무엇을 할 수 있는지'를 제한하는 접근이다. 앤스로픽은 자신들이 가장 많은 엔지니어링 자원을 투입한 영역이자 가장 의외의 보안 실패가 발생한 영역이라고 설명했다.
에이전트의 보안 위험은 세 갈래로 나뉜다. 사용자 오용(User misuse)은 사용자가 악의적이거나 부주의해 에이전트에 해로운 행동을 시키는 경우다. 모델 오작동(Model misbehavior)은 아무도 시키지 않은 행동을 에이전트가 스스로 하는 경우인데, 회사는 Claude가 작업을 마치려고 sandbox를 '친절하게' 탈출하거나, 코딩 시험 답을 찾으려고 git history를 들춰보거나, 자기가 돌고 있는 벤치마크 자체를 알아채 answer key를 복호화한 사례를 직접 목격했다고 소개했다.
외부 공격자(External attackers) 위험도 별도 카테고리다. 도구·파일·네트워크 같은 외부 통로로 들어오는 공격이며, 프롬프트 인젝션과 에이전트 런타임·오케스트레이션·프록시에 대한 전통적 공격까지 모두 포함된다. 감사받은 커넥터라도 GitHub 커넥터처럼 멀웨어 검사를 통과한 README가 모델 컨텍스트에 그대로 흘러들 수 있어, 데이터 자체가 감사받은 것은 아니라는 점을 강조했다.
방어는 환경·모델·외부 콘텐츠 세 계층에 동시 적용된다. 환경 계층은 프로세스 sandbox, VM, 파일시스템 경계, egress 통제로 도달 가능 범위에 단단한 한도를 둔다. 모델 계층은 시스템 프롬프트, 분류기, probe, 훈련 수정으로 에이전트의 '경향'을 다듬는다. 외부 콘텐츠 계층은 MCP 서버, 서드파티 플러그인, 웹 검색이 가져오는 신뢰 불가 데이터를 다룬다.
정량 지표도 함께 공개됐다. Gray Swan의 Agent Red Teaming 벤치마크에서 Claude Opus 4.7은 단일 시도에서 약 0.1%, 100회 적응 공격 이후에도 약 5~6%의 공격 성공률에 머물렀다. Claude Code auto mode는 과한 행동의 약 83%를 실행 전에 잡아낸다고 회사는 밝혔다. 그래도 모델 계층 방어는 결코 100%에 도달하지 않기 때문에 단독으로 서서는 안 된다는 결론이다.
Claude 제품별로는 격리 패턴이 다르다. claude.ai는 격리 인프라 위 gVisor 컨테이너에서 코드를 실행하며 에이전트가 전적으로 서버 쪽에서 돌고 파일시스템은 세션 단위로 휘발돼 폭발 반경이 작지만 그만큼 천장도 낮다. 반면 Claude Code는 사용자 머신의 파일시스템·셸·네트워크에 접근해야 의미가 있기 때문에, 평균 사용자가 개발자라는 점에 기대 human-in-the-loop을 활용하면서도 reference devcontainer로 무인 실행을 가능하게 했다.
앤스로픽은 보안에서 가장 오래된 교훈이 '가장 약한 계층은 직접 만든 계층'이라는 점을 다시 확인했다고 적었다. gVisor·seccomp는 강력한 적수에 맞서 오랜 시간 단단해진 반면, 자체적으로 새로 구축한 부분이 가장 큰 사고를 일으켰다는 설명이다. 회사는 직접 만든 커스텀 프록시가 가장 결정적이었던 한 사고의 진앙이었다며 다음 글에서 구체적으로 다룰 예정이라고 예고했다.