에이전트에게 지갑은 있지만, 실적 기록은 있나?

어제 Google Cloud 와 Solana 는 x402 프로토콜을 기반으로 구축된 'pay.sh'라는 요청당 지불 (pay-per-request) API 게이트웨이를 출시했습니다. AI 에이전트가 Solana 지갑과 연결되면,从此부터 계정 없이, API 키 회전 없이, 가입 마찰 없이 75 개 이상의 API 를 발견하고 결제할 수 있습니다 (Gemini, BigQuery, Vertex AI, 커뮤니티 제공자 포함). x402 프로토콜 자체는 4 월에 Linux Foundation 에 기부되기 전에 69,000 개의 활성 에이전트와 누적 거래액 $50 만 달러를 기록했습니다. Coinbase 이 시작했습니다. Google 과 Solana 은 이를 기관급 무게감을 부여했습니다. 이것이 중요한 인프라입니다. 인간이 개입 없이 체인 상에서 해결되는 대규모 기계 대 기계 결제. 이는 실제 문제를 해결합니다: 에이전트가 인간의 신용카드와 API 키를 빌려서 결제할 수 없었습니다. 같은 주에 Claude Code 의 치명적인 취약점이 공개되었습니다. 51 번 명령어는 모든 금지 규칙을 무효화합니다. Claude Code 우회가 실제로 보여준 것 Claude Code 의 권한 시스템은 간단합니다: 금지 규칙이 명령어를 차단하고, 허용 규칙이 승인하며, 질문 규칙이 사용자를 요청합니다. 구현은 분석을 50 개의 하위 명령어로 제한했습니다 (성능 최적화). 50 을 초과하면 시스템은 "질문"에Fallback 합니다. 이는 안전해 보입니다. 그러나 catch 는: "질문"은 "금지"가 아닙니다. 그리고 사용자는 금지 규칙이 작동하지 않는다는 알림을 받지 않습니다. 공격자가 악의적인 CLAUDE.md 파일에 지시어를 삽입합니다. 에이전트는 50 개 이상의 하위 명령어가 포함된 파이프라인을 만납니다. 이는 합법적인 빌드 단계처럼 보입니다. 금지 규칙은 무시됩니다. SSH 개인 키, AWS 자격 증명, GitHub 토큰: 모두 접근 가능하고, 모두 탈취 가능합니다. 경고 없음. 표준 감사 로그에 흔적 없음. 이는 행동 거버넌스 실패입니다. 정책은 구성 시간에는 올바르게 선언되었습니다. 그러나 보안 모델이 고려하지 않은 상태 전이로 인해 런타임에서 무심코 행동과 편차 occurred 합니다. pay.sh 와 Claude Code 우회는 별개의 뉴스 항목이 아닙니다. 반대 방향에서 같은 문제를 설명한 것입니다. pay.sh: 에이전트가 Solana 지갑으로 인증합니다. 지갑은 키페어입니다: 요청을 서명할 수 있음을 증명합니다. 이것이 에이전트가 과거에 무엇을 했는지, 마지막 10,000 개의 API 호출 동안 허용된 대로 행동했는지, 또는 세션 T-6 에서 해킹당했고 이후 공격자 통제 하에 운영되고 있는지 알려주지 않습니다. Claude Code: 정책은 구성 시간에서 확인되었습니다. 그러나 런타임에서는 특정 상태 조건에서 무심코 정책을 무시했습니다. 정체성 확인은 통과했습니다. 그러나 행동 연속성 확인은 존재하지 않았습니다. 두 경우 모두 동일한 레이어에서 실패합니다: 행동 연속성 (L4). 정체성 (L1/L2) 과 권한 부여 (L3) 는 모두 존재합니다. 누락된 확인은 런타임 행동 준수입니다. "신뢰"가 실제로 요구하는 것 에이전트 보안 논의에서 '정체성'과 교차적으로 사용되는 단어가 있습니다. 혼동은 실제 해를 입힙니다. 정체성: 이 에이전트는 키페어를 가지고 있습니다. 공개키는 등록되었습니다. 에이전트-7f3b 라고 주장합니다. 권한 부여: 이 에이전트는 /api/payments 를 호출할 수 있으며 범위는 read 입니다. 신뢰: 이 에이전트는 10,000 개의 API 호출, 세 가지 조직 배포, 6 개월의 운영을 통해 일관되게 약속한 대로 행동했습니다. pay.sh 는 정체성 (지갑 키페어) 과 권한 부여 (결제에 대한 API 접근 범위) 를 제공합니다. 그러나 신뢰는 제공하지 않습니다. x402 의 $50 만 달러 거래액은 L1 과 L3 이 존재했을 때 발생했습니다. L4 는 존재하지 않았습니다. RSAC 2026 에서 나열한 다섯 가지 기업 프레임워크 (Okta for AI A

Microsoft Agent 365, 1Password Unified Access Pro, Cisco Zero Trust for Agentic AI, BeyondTrust Pathfinder) 모두 "이 에이전트는 누구인가?"에 대해 다양한 수준으로 답변합니다. 그러나 "이 에이전트가 여전히 권한 있는 방식으로 행동하고 있는가?"라는 질문에 대한 답은 없습니다. TOCTOU (Time-of-Check-Time-of-Use), 에이전트 행동 보안 연구자들에게는 이 패턴에 이름을 붙였습니다. 조건을 T=0 에서 확인합니다. 자원을 T+1 에서 사용합니다. 확인과 사용 사이의 간격이 공격 표면입니다. 파일의 경우 이는 고전적인 경쟁 상황 (race condition) 입니다. 에이전트의 경우 이는 구조적 문제입니다. 모든 에이전트 신원 프레임워크는 T=0 에서 조건을 확인합니다: 이 에이전트가 유효한 자격증명을 가지고 있는가? 이 에이전트는 권한이 있는가? 네, 로그인, 연결 또는 첫 번째 도구 호출 시입니다. T+1 부터 T+infinity 까지: 에이전트가 실행됩니다. 정책이 선언됩니다. 컨텍스트가 변경됩니다. T+23 에서 프롬프트 주입 (prompt injection) 이 발생합니다. T+100 에서 행동 편차 (behavioral drift) 가 발생합니다. T+any 에서 51 번째 명령어. 신원 자격증명은 전체 기간 동안 유효합니다. 그러나 행동은 더 이상 권한된 것이 아닙니다. 확인은 한 번만 이루어졌습니다. 실행은 무한히 계속됩니다. Claude Code 우회 (bypass) 는 완벽한 TOCTOU 예시입니다: 거부 규칙은 설정 시간 동안 확인되었습니다. 악용은 확인 이후, 런타임에서 발생합니다. 보안 시스템은 선언된 정책과 행동 준수에 대해 재평가할 메커니즘을 갖추지 못했습니다. 지갑이 알려줄 수 없는 것 솔라나 지갑을 에이전트 신원으로 사용하는 것은 합리적인 시작점입니다. 위조 불가능하며, 자기 주권적이며, 에이전트 API 를 비실용적으로 만든 계정 관리 마찰을 제거합니다. pay.sh 가 이를 사용한다고 비판하는 것이 아닙니다. 그들은 지불 문제를 우아하게 해결했습니다. 그러나 지갑은 API 제공자에게 가장 중요한 질문에 답하지 않습니다: 요청 10,001 에서 이 에이전트는 요청 1 과 동일하게 행동할 것인가? pay.sh 를 통해 잘 형성된 범위 내 정책 준수 API 호출을 10,000 회 한 에이전트는 새로운 지갑과 함께 새로 생긴 에이전트와 본질적으로 다릅니다. 두 경우 모두 동일한 자격증명을 제시합니다. 두 경우 모두 동일한 접근 권한을 얻습니다. 경륜이 있는 에이전트는 행동 일관성을 입증했습니다. 새 에이전트 (또는 회전된 지갑을 가진 침해된 에이전트) 는 아무것도 입증하지 않았습니다. 신뢰는 획득됩니다. 지갑은 발급됩니다. 누락된 레이어 조직 간 행동 연속성은 현재 모든 프레임워크가 닫지 못하는 간격입니다. Microsoft 의 Agent Governance Toolkit 이 가장 가깝습니다. 실시간 업데이트를 포함한 0-1000 점의 행동 신뢰 점수를 제공하지만, 단일 조직에 국한됩니다. 500 개의 외부 배포에서 2 년 동안 깨끗한 행동을 한 에이전트는 Microsoft AGT 배포를 시작할 때 0 점으로 시작합니다. 새로운 공격자의 에이전트와 구별되지 않습니다. AIP (Ironwood Cyber 의 Agent Identity Protocol) 는 올바른 아키텍처를 가지고 있습니다: Ed25519 키쌍 + W3C DIDs + 보증 체인 + 행동 점수. 651 개의 테스트 케이스, 22 개의 등록 에이전트. 1.0 이전입니다. AgentLair (완전한 공개, 제가 구축 중) 는 반대 방향의 접근법을 취합니다: JWKS 확인과 함께 EdDSA 서명된 에이전트 인증 토큰 (AATs), 조직 간 이동성을 위한 해시 체인 감사 기록, 그리고 행동テレ메트리 레이어입니다. 첫 번째 외부 통합이 라이브 상태입니다: Gleam 의 springdrift, Kotlin 의 task-orchestrator. ERC-8004 등록되었습니다. 중요한 교차점: pay.sh 는 에이전트가 수조 달러의 API 거래를 처리할 것이라고 증명합니다. AgentLair 의 레이어는 해당 거래가 실제로 권한된 작업을 수행하는 에이전트에서 왔는지 여부를 답변합니다. 앞으로 오게 될 것 스택이 조립되고 있습니다: L1/L2 (누구 + 인간 체인): World ID for Agents, Okta, Entra. 여러 프로덕션 구현체. L3 (권한 부여):

OAuth, x402, pay.sh, Cisco gateway. Increasingly well-served. L4 (behavioral continuity): Under construction. The $50M in x402 volume is real money. The Claude Code vulnerability is a real exploit. The gap between them is behavioral continuity, and it's getting bigger as agent autonomy increases. A wallet tells the API provider that an agent can pay. The provider still can't tell if that agent is the one it was introduced to. Building AgentLair — cross-org behavioral trust infrastructure for AI agents. AAT spec, JWKS verification, and audit trail are live. If you're building agent infrastructure and want to talk integration: team@agentlair.dev Series: World ID for Agents Is L1/L2 — Here's Why L4 Still Doesn't Exist | Five Identity Frameworks, Three Gaps | Microsoft Built the Intranet of Agent Trust