CNCF Prempti:AI 코딩 에이전트에 정책 적용과 가시성을 제공하다
CNCF Falco 팀이 Prempti를 공개했습니다. Falco의 런타임 보안 모델을 AI 코딩 에이전트로 확장하는 실험적 프로젝트입니다. 이 시스템은 도구 호출을 실행 전에 가로채 정책 규칙을 적용함으로써, 팀이 Claude Code 같은 에이전트의 행동을 제어할 수 있게 합니다.
이 기사는 AI가 1차 출처를 기반으로 생성했습니다.
Cloud Native Computing Foundation(CNCF) 산하 Falco 팀이 Prempti를 공개했습니다. AI 코딩 에이전트의 행동에 구조적인 가시성과 제어 기능을 제공하는 실험적 프로젝트입니다. 목표는 Falco가 Kubernetes 환경에서 이미 실현한 것과 동일합니다. 런타임 보안——피해가 발생한 후가 아니라, 무언가가 행동하려는 바로 그 순간에 개입하는 것입니다.
Prempti는 무엇이며, 정책 적용은 어떻게 작동하나요?
Prempti는 AI 에이전트와 운영 체제 사이에 삽입되는 경량 사용자 공간 서비스입니다. 에이전트——예를 들어 Claude Code——가 도구 호출(파일 읽기, 셸 명령 실행, 네트워크 접근 등)을 선언하면, Prempti는 해당 이벤트를 실행 전에 가로채고 Unix 소켓을 통해 Falco에 전송합니다.
Falco의 규칙 엔진은 YAML 정책 설정——엔지니어가 Falco 런타임 규칙에서 이미 알고 있는 동일한 형식——에 따라 요청을 평가합니다. 판정은 Allow, Deny, 또는 Ask(사용자 인터랙티브 확인) 중 하나가 됩니다. 시스템은 차단 없이 이벤트만 기록하는 모니터(Monitor) 모드와, 정책을 능동적으로 적용하는 가드레일(Guardrails) 모드 두 가지를 지원합니다.
어떤 위협을 다루며, 왜 중요한가요?
기본 규칙 세트는 AI 에이전트에 특화된 6가지 위험 범주를 다룹니다. 작업 디렉터리 이탈, 민감한 경로 접근(SSH 키, AWS 자격 증명, .env 파일), 샌드박스 비활성화, 자격 증명 탈취, 파괴적인 명령, 그리고 MCP/슬래시 명령 인젝션——AI 에이전트가 외부 도구에 대한 접근 권한을 얻으면서 점점 더 관련성이 높아지고 있는 공격 벡터입니다.
Prempti가 샌드박스를 대체할 수 있나요?
아닙니다——저자들도 이를 명시적으로 강조합니다. Prempti가 가로채는 것은 에이전트가 선언한 도구 호출이며, 해당 호출이 궁극적으로 생성하는 시스템 호출이 아닙니다. OS 하드닝과 프로세스 격리를 보완하는 정책 계층이지만, 이를 대체하지는 않습니다. 현재 Linux, macOS, Windows에서 Claude Code를 지원하며, OpenAI Codex와의 통합도 계획 중입니다.
이미 Falco를 사용하는 보안 팀에게 Prempti는 익숙한 모델을 새로운 공격 표면——프로덕션 환경에서 점점 더 자율적으로 코드를 실행하는 AI 에이전트——으로 자연스럽게 확장하는 수단을 제공합니다.
자주 묻는 질문
- Falco는 무엇이며, Prempti와 어떻게 연결되나요?
- Falco는 시스템 호출을 분석하여 Kubernetes 환경에서 이상 동작을 탐지하는 CNCF 졸업 프로젝트로, 클라우드 네이티브 런타임 보안에 특화되어 있습니다. Prempti는 Falco의 플러그인 시스템과 규칙 엔진을 활용하여 동일한 정책 모델을 AI 코딩 에이전트의 도구 호출에 적용합니다.
- Prempti는 에이전트가 무엇을 할 수 있는지 어떻게 결정하나요?
- Prempti는 에이전트가 선언한 모든 도구 호출을 가로채고, Unix 소켓을 통해 Falco에 이벤트를 전송하며, Falco 엔진이 YAML 정책 규칙에 따라 요청을 평가합니다. 판정은 Allow(허용), Deny(거부), Ask(인터랙티브 확인) 중 하나입니다.
- Prempti가 샌드박스나 OS 하드닝을 대체할 수 있나요?
- 아닙니다. Prempti는 에이전트가 선언한 도구 호출을 가로채는 정책 계층이며, 해당 호출이 생성하는 시스템 호출을 가로채는 것이 아닙니다. OS 하드닝과 샌드박싱을 보완하지만 대체하지는 않습니다.