잔류 권한: 코딩 에이전트를 위한 취소 가능한 리소스 및 효과 역량

코딩 에이전트(Coding agents)는 특정 리소스가 단 하나의 하위 목표(subgoal)에만 필요할 때조차, 전체 태스크에 대해 광범위한 도구 접근 권한을 부여받는 경우가 많습니다. 우리는 이러한 격차를 잔류 권한(lingering authority)이라고 부릅니다. 즉, 해당 권한을 정당화했던 에피소드가 종료된 후에도 일시적인 리소스/효과 역량(resource/effect capability)이 노출된 채로 남아 있는 상태를 의미합니다. PORTICO는 플래너(planner)에게 노출된 취소 가능한 역량(revocable capabilities)을 위한 참조 모니터(reference monitor)입니다. PORTICO는 명시적인 태스크 계약(task contract)을 초기 역량(initial capabilities), 부여 규칙(grant rules), 신뢰할 수 있는 종료 술어(trusted closure predicates), 그리고 글로벌 거부 규칙(global deny rules)으로 컴파일합니다. 요청-부여-호출(request-grant-invoke) 라이프사이클은 확장을 불투명하고 에포크 제한적인 핸들(epoch-bound handles)로 구체화합니다. 종료(Closure) 시에는 다음 플래너 인터페이스에서 해당 핸들을 제거하며, 부수 효과(side effects)가 발생하기 전에 오래된 재실행(stale replay)을 거부합니다. 이 모니터는 중재된 도구(mediated tools)와 건전한 타입 카탈로그(sound typed catalog)를 가정합니다. 통제된 코딩 에이전트 태스크에서, PORTICO는 평가된 실행 과정 중 계약상 금지된 효과(contract-forbidden effects)가 실행된 사례를 기록하지 않은 반면, 통제된 부여(controlled grants)는 고정된 좁은 범위(narrow envelope)에 의해 차단되었던 경계 작업(boundary work)을 복구해냈습니다. 취소 불가능한 비교 대상(non-revoking comparator)은 동일한 턴에서 동일한 초기 범위(initial envelope)와 동일한 부여(grants)를 받습니다. 종료 슬라이스(closure slice)에서 두 시스템 모두 태스크 성공, 범위 준수(scope compliance), 그리고 종료 전의 모든 결정 사항이 일치했습니다. 그러나 PORTICO는 종료 후 재사용(post-closure reuses) 사례 10건 중 10건을 모두 거부한 반면, 비교 대상은 10건 중 10건을 모두 허용했습니다. 결정론적인 오래된 쓰기 감사(deterministic stale-write audit) 결과, 금지된 효과의 실행 건수는 0/6 대 6/6으로 기록되었습니다. 파일 쓰기, git 변이(git mutation), 네트워크 유출(network egress)에 대한 스크립트 추적(scripted traces) 및 6개의 라이브 모델 추적(live model traces)에서도 동일한 차이가 나타났습니다. 동일한 정책을 사용하는 4-에피소드 진단에서, 광범위한 요청 노출(broad request exposure)은 실행된 금지된 효과를 0건으로 유지했으나, 차단된 제안(blocked proposals)을 67건에서 84건으로 증가시켰습니다. 커밋과 추적이 기록된 동결된 실제 저장소 실행(Frozen real-repository runs)을 통해 실제 프로젝트 레이아웃에서도 동일한 라이프사이클을 테스트했습니다.