프로덕션 AI 에이전트 런타임 거버넌스를 위한 오프 플레인 레퍼런스 아키텍처

엔터프라이즈 보안은 데이터 경계를 통제하도록 구축되었습니다. 보호되는 표면은 저장 중(at rest) 및 전송 중(in transit)의 데이터였으며, 접근 제어(access control), 데이터 유출 방지(data-loss prevention), 경계 검사(perimeter inspection)와 같은 통제가 그 경계를 넘나드는 것을 통제했습니다. 프로덕션 AI 에이전트는 이러한 가정을 무너뜨립니다. 에이전트는 컨텍스트를 읽고, 도구를 호출하며, 커넥터를 실행하고, 엔터프라이즈를 대신하여 시스템 기록(systems of record)을 수정합니다. 따라서 위험은 워크플로우 내부로 이동하며, 아무도 승인하지 않은 비즈니스 프로세스를 변형시킬 수 있는 개별적으로 허가된 행동의 순서 속으로 들어갑니다. 기존 정책 엔진들은 이러한 체제에 확장되지 않습니다. 이들은 원자적(atomic) 원칙에 대한 요청 시점 결정(request-time decisions)을 평가하는 반면, 에이전트 시스템은 위임 사슬(delegation chains)을 통해 권한이 약화되는 복합적인 원칙(composite principals)에 대한 상태 기반 평가(stateful evaluation)를 필요로 합니다. 우리는 프로덕션 에이전트의 런타임 거버넌스를 위한 레퍼런스 아키텍처를 제시하며, 이는 네 가지 조합 가능한 프리미티브(composable primitives)로 구성됩니다: 의도를 판정하는 추론 플레인(reasoning plane)과 결정을 실현하는 네 개의 강제 플레인(enforcement planes)—네트워크, ID(identity), 엔드포인트, 데이터—으로 이루어진 오프 플레인 분해(five-plane decomposition), 언제든지 중단 가능한 미디에이션(stop-anywhere mediation), 능력 약화가 적용된 복합 원칙(composite principals with capability attenuation), 그리고 구조화된 증거 기질로서의 감사(audit as a structured evidence substrate)입니다. 우리는 허용(allow)과 거부(deny)를 일반화하는 여섯 가지 중단 프리미티브(interruption primitives)의 분류 체계를 정의하고, 네 가지 정확성 불변량(correctness invariants)을 주장하며, 다섯 가지 구체적인 워크플로우에 걸쳐 일곱 가지 프로덕션 에이전트 위협의 차단을 입증합니다. 정책 엔진 코어의 레퍼런스 구현은 측정 가능한 증거를 제공합니다: 약화 정확성(attenuation correctness)과 증거 재구성 가능성(evidence reconstructability)은 모든 시도에서 유지되며, 판정은 한 자릿수 마이크로초 내에 실행되고, 감사 기질의 변조 방지 증거(tamper-evidence)는 설계된 대로 정확하게 작동합니다. 우리는 범위에 대해 명확히 합니다: 이 아키텍처는 모델 동작이 아닌 위임된 행동을 통제하며, 라이브 에이전트 벤치마크를 통한 전체 시스템 평가는 초대되는 다음 단계입니다.