프라이버시를 넘어 워크플로우 무결성으로: 자율 에이전트 상호운용성에서의 통신 그래프 메타데이터

A2A 및 MCP와 같은 에이전트 상호운용성 (Agent-interoperability) 프로토콜은 에이전트들이 서로 주고받는 내용을 표준화하지만, HTTP(S) 기반의 주소 기반 전송 (address-based transport)을 가정합니다. 이러한 전송 방식은 메시지 내용 (message content)을 보호하며, 점점 더 종단간 암호화 (end-to-end encryption)를 적용하고 있습니다. 하지만 이 과정에서 명확하게 드러나는 것은 통신 그래프 (communication graph)입니다. 즉, 어떤 에이전트가 누구와, 언제, 얼마나 자주 접촉하는지에 대한 정보입니다. 에이전트 시스템에서 이 그래프는 프라이버시 프레임워크 (privacy framing)가 시사하는 것보다 더 중대한 결과를 초래합니다. 엔드포인트 (Endpoints)는 종종 기능 레이블 (capability-labeled)이 지정되어 있고, 워크플로우 (workflows)는 구조화되어 체인 형태로 연결되어 있으며, 상호작용은 실제 동작 (real actions)과 결합되어 있기 때문에, 관찰자는 과거의 관계 그 이상을 복구할 수 있습니다. 관찰자는 대기 중인 워크플로우, 조립 중인 작업, 그리고 뒤따를 가능성이 높은 동작을 추론할 수 있습니다. 기계의 속도로 작동할 때, 관찰자는 워크플로우가 완료되기 전에 해당 추론을 바탕으로 행동할 수 있습니다. 따라서 위협은 단순한 프라이버시의 문제가 아니라 워크플로우 무결성 (workflow integrity)의 문제입니다. 즉, 자율적 행동에 대한 예측적 영향력 (predictive leverage)에 대한 위협입니다. 본 논문에서는 에이전트 통신 그래프에 대한 위협 모델 (threat model)을 제시합니다. 에이전트 메타데이터를 독특하게 드러내는 요소들(의미론적 특성 (semanticity), 예측 가능성 (prospectivity), 실행 가능성 (actuation))을 식별하고, 전송 계층 (transport-layer) 및 부트스트랩 계층 (bootstrap-layer)의 프라이버시 속성을 정의하며, 후보 전송 방식들(SimpleX/SMP, Tor, mixnets)을 이 속성들에 비추어 평가합니다. 또한, 메타데이터를 보호하는 바인딩 (binding)을 표현할 수 있지만 프로토콜의 정체성 가정 (identity assumptions)을 드러내는 A2A 사례 연구를 제시합니다. 우리는 실제 A2A 캡처 데이터에 기반한 생성 모델 (generative model)을 통해 이를 테스트합니다. 페이로드 (payloads)가 없는 수동적 메타데이터만으로도, 분류기 (classifier)는 워크플로우의 시작 부분만 보고도 작업 클래스 (task's class)를 우연보다 훨씬 높은 확률로 복구해 냅니다. 이러한 속성들을 함께 적용하면, 해당 복구 성능을 우연 수준으로 급격히 낮출 수 있습니다. 관찰자가 복구할 수 있는 범위를 넘어, 우리는 정보 유출에 기반한 행동의 영향력을 측정합니다. 워크플로우의 시작 시점과 고정된 예산 하에서, 어떤 워크플로우에 개입할지 선택하는 공격자는 이 모델에서 메타데이터를 알지 못하는 공격자에 비해 투시 능력을 가진 공격자 (clairvoyant attacker)가 누리는 이점의 대부분을 실현하며, 동일한 속성들이 이를 억제합니다.