Ghost Tool Calls: 추측적 에이전트 도구의 호출 시점 프라이버시

도구 증강 언어 에이전트(Tool-augmented language agents)는 지연 시간(latency)을 숨기기 위해 향후 발생할 가능성이 높은 도구 호출(tool calls)을 추측적으로 실행하지만, 이러한 호출은 에이전트가 해당 분기(branch)를 확정(commit)하기 전에 외부 서비스로 추론된 사용자 의도(user intent)를 유출합니다. 호출을 수신한 모든 외부 관찰자(external observer)는 에이전트가 해당 분기를 포기한 후에도 해당 정보를 보유하게 됩니다. 문제는 권한(authorization)이 아니라 타이밍(timing)입니다. 확정 시점의 정리(commit-time cleanup), 읽기 전용 제한(read-only restriction), 또는 액세스 제어 허용 목록(access-control allow-list)은 관찰자가 이미 보유한 정보를 되돌릴 수 없습니다. 우리는 이러한 호출을 Ghost Tool Calls라고 명명하며, 확정 전의 관찰을 상태 변이(state mutation)와 구별되는 일급 효과(first-class effect)로 취급하는 런타임 추상화인 추측적 도구 프라이버시 계약(Speculative Tool Privacy Contracts)을 제안합니다. 우리는 프로토타입 런타임에 이 계약을 구현하고 세 개의 코퍼스(corpora)에 걸쳐 12개의 정책을 평가했습니다. 추측적 디스패치(Speculative dispatch)는 관찰자가 사용자 의도에 대해 추론할 수 있는 내용을 증가시킵니다. 사후 필터(post-hoc filters), 읽기 전용 제한, 액세스 제어 허용 목록은 해당 추론을 그대로 남겨둡니다. 오직 디스패치 전에 추측적 호출의 인자(argument) 또는 목적지 투영(destination projection)을 변경하거나 억제하는 호출 시점 정책(issue-time policies)만이 이를 감소시킵니다.