피드로 돌아가기
Dev.toSecurity
원문 읽기
npx tessl-audit를 통한 AI Agent Context 보안 취약점 및 품질 검증 자동화
Stop trusting your agent skills with vibes. Eliminate the context security risk.
AI 요약
Context
AI Agent의 행동을 결정하는 Plugin이 Context에 직접 로드되면서 발생하는 보안 및 품질 관리 부재 상황 분석. 기존 패키지 매니저의 audit 도구와 달리 Agent Skill에 특화된 검증 체계가 없어 정성적인 'Vibes'에 의존하는 설계 한계 노출.
Technical Solution
- tessl.json Manifest 파일을 기반으로 프로젝트 내 모든 Context 파일의 의존성 그래프를 추적하는 스캔 구조 설계
- Registry의 실시간 데이터를 Fetch하여 Plugin별 Security Status(Advisory, Risky, Critical)를 대조하는 검증 로직 구현
- 단순 보안 스캔을 넘어 가이드라인의 완전성을 측정하는 Quality Score(80% 기준) 지표 도입을 통한 프롬프트 최적화 유도
- 실제 Task 수행 능력을 측정하는 Uplift Score 산출을 위해 Scenario Generation 및 Eval Run 프로세스 연결
- CLI 기반의 Actionable Output을 제공하여 발견된 취약점에 대해 즉각적인 최적화 및 테스트 수행이 가능한 피드백 루프 구축
실천 포인트
1. AI Agent Plugin 도입 시 단순 동작 확인이 아닌 Security Scan 결과 확인
2. Quality Score 80% 미만인 Skill에 대해 자동 최적화 명령(`tessl skill review --optimize`) 적용 검토
3. Uplift Score 측정을 위한 테스트 시나리오 생성 및 Evaluation 수행 여부 점검
4. Agent의 Dependency Graph를 가시화하여 Context 보안 리스크 상시 모니터링 체계 구축