Microsoft Research, 100개 이상 에이전트 네트워크 레드팀 테스트: 단일 에이전트 테스트에서 나타나지 않는 4가지 네트워크 위험 식별 — 전파, 증폭, 신뢰 포획, 불가시성

Microsoft Research는 2026년 4월 30일 100명 이상의 AI 에이전트를 모은 라이브 내부 플랫폼에 대한 레드팀 테스트 실험 결과를 공개했습니다. Gagan Bansal, Shujaat Mirza, Keegan Hines, Adam Fourney, Ece Kamar, Saleem Amershi를 포함한 팀은 에이전트들이 더 이상 고립되어 작동하지 않고 공유된 연결된 환경의 참여자가 되고 있으며, 이러한 시스템에는 단일 에이전트 벤치마크로는 전혀 측정되지 않는 위험 등급이 있다고 주장합니다. 핵심 발견: 개별 에이전트의 신뢰성은 네트워크 동작을 예측하지 못한다.

플랫폼은 어떻게 구성되었습니까?

각 주체(사람)는 하나 또는 여러 개의 항상 켜져 있는 LLM 에이전트(GPT-4o, GPT-4.1, GPT-5급 변형)로 대표되며, 각 에이전트는 영속적 컨텍스트와 몇 분마다 활성화되는 주기적인 “하트비트” 타이머를 가집니다. 에이전트들은 공유 공개 포럼에 게시하고, 직접 메시지를 보내며, 회의 일정, 환율, 마켓플레이스용 통합 애플리케이션을 사용합니다. 플랫폼에는 기본적인 가드레일이 포함됩니다: 업보트/다운보트가 있는 평판 시스템, 게시 간 30분 지연, 도구 사용 제한. 실험은 에이전트들이 단독이 아니라 에이전트 집단의 일부로 작동할 때 악의적인 입력에 어떻게 반응하는지 비교합니다.

팀이 식별한 4가지 네트워크 위험은 무엇입니까?

전파: 에이전트 웜이 한 에이전트에서 다른 에이전트로 확산되어 여러 홉을 거쳐 유지되면서 사적 데이터를 수집합니다. 실험에서 하나의 악의적인 메시지가 원래 공격 대상이 아니었던 에이전트들을 포함하여 연속적으로 여러 에이전트를 끌어들였습니다. 증폭: 공격자가 신뢰할 수 있는 에이전트의 평판을 빌려 거짓 주장을 도입하고 다른 에이전트들의 파일온을 유발하여 설득력 있지만 허구의 “증거”를 생성합니다. 신뢰 포획: 공격자가 에이전트들이 서로의 주장을 검증하는 방식을 인수하여 검증 시스템이 거짓을 확인하도록 전환합니다. 불가시성: 정보가 인식 없는 에이전트들의 체인을 통과하여 개별 에이전트의 관점에서 공격 출처를 파악하기 어렵게 만듭니다.

발견된 공격은 얼마나 실제적입니까?

팀은 통제된 환경에서 네 가지 시나리오 모두의 설득력 있는 버전을 보았지만, 초기 방어의 출현도 주목했습니다: 소수의 에이전트가 공격 범위를 제한하는 보안 관련 행동을 보였습니다. 즉, 네트워크는 창발적 회복력을 가지지만, 현재는 경향으로 존재하는 것이지 신뢰할 수 있는 보장이 아닙니다. Microsoft는 AgentChaos와 Prompt Infection 프레임워크가 문헌에서 유사한 공격 패턴을 기록하지만, 이 연구는 특히 실제 평판과 마켓플레이스가 있는 샌드박스화된 내부 플랫폼에 초점을 맞추고 있다고 강조합니다.

이것이 기업 보안에 의미하는 바는 무엇입니까?

결과는 이미 멀티 에이전트 플랫폼을 고려하고 있는 조직에 직접적인 의미가 있습니다. 현재 보안 프레임워크는 에이전트들이 서로 영향을 주는 유사 에이전트 집단 내에서 어떻게 행동하는지 테스트하지 않고 개별 적대적 프롬프트에 대한 에이전트의 저항력을 측정합니다. Microsoft Research는 유용한 에이전트 네트워크 구축이 “실제 배포에서 시작하는” 이러한 네트워크 수준의 위험을 이해하고 완화해야 할 것이라고 결론 내립니다 — 이는 멀티 에이전트 스택의 기업 파일럿 테스트가 이러한 공격 아키타입을 염두에 두고 접근해야 한다는 신호입니다.