LLM 코딩 에이전트를 위한 결정론적 제어 평면 (A Deterministic Control Plane for LLM Coding Agents)

LLM 코딩 하네스 (harness)는 에이전트에게 광범위한 파일 및 셸 (shell) 접근 권한을 부여하지만, 이들을 조종하는 설정 계층 — 규칙 파일, 에이전트 정의, IDE 전용 마크다운 (markdown) — 은 대체로 관리되지 않은 상태입니다. 10,008개의 공개 GitHub 저장소(n=6,145개의 에이전트 설정 파일)를 대상으로 한 유병률 연구에 따르면, 에이전트 설정은 선언되지 않은 공유 구성 요소로서 전파되는 것으로 나타났습니다. 추적된 경로의 10.1%가 독립적인 저장소 간에 SHA-256 기준으로 정확히 일치하며 (포크(fork) 조정 및 임계값 독립적), 복제 쌍의 75.5%가 조직의 경계를 넘나듭니다. 두 가지 추가적인 패턴이 이를 뒷받침합니다: 설정은 거의 수정되지 않으며 (58%가 단일 커밋; CI/CD 워크플로 대비 연령 정규화 시 월평균 0.4 대 0.6회 커밋), 권한 경계를 선언하는 경우도 드뭅니다 (에이전트 설정의 <1% vs Actions 워크플로의 33%, n=31 true positives). 우리는 이러한 격차를 일대일로 매핑하는 하네스 상위의 결정론적 제어 평면 (deterministic control plane)을 제안합니다. Rel(AI)Build는 에이전트 정의를 관리되는 공급망 (managed supply chain)으로 취급하며 (SHA-256 콘텐츠 주소 지정, HMAC 스탬프가 찍힌 락파일 (lockfiles), 해시 체인형 감사 로그 (hash-chained audit logs)), LLM 호출 전에 계층화된 권한 및 공격 유래 차단 목록 (blocklists)을 강제합니다; 요구사항-파일-테스트 추적성을 갖춘 단계 상태 머신 (phase state machine)을 통해 기능 작업을 게이트 (gate) 합니다; 단일 정준 정의 (canonical definition)를 7개의 IDE 타겟으로 컴파일합니다; 그리고 자카드 유사도 (Jaccard similarity)를 통해 프롬프트 드리프트 (prompt drift)를 탐지합니다. 주입된 위반 사항에 대한 적합성 테스트를 통해 각 메커니즘이 명시된 불변량 (invariant)을 강제함을 확인했습니다; 개발자 결과에 대한 연구는 향후 과제로 남겨둡니다. 이 계층의 거버넌스는 추가적인 LLM 오케스트레이션 (orchestration)에 위임되는 것이 아니라, 결정론적이고 도구에 구애받지 않는(tool-agnostic) 방식이어야 합니다.