์ฌ์ ๋ฆฌ๋
9์ด ์์ ์ ๋ก๋ก: PocketOS ์ฌ๊ฑด์ ๊ธฐ์ AI ์ํ์ ๋ํด ๋ฌด์์ ์๋ ค์ฃผ๋๊ฐ
2026년 4월 25일 오전, 한 기술 창업자는 관찰한 그의 회사의 프로덕션 데이터베이스가 사라지는 것을 보았다. 훼손되지 않았고, 부분적으로 덮어쓰지지도 않았다. 9초 안에 모든 백업과 함께 사라졌다. 범인은 Anthropic의 Claude Opus 4.6을 사용하는 Cursor에서 실행되는 AI 코딩 에이전트였다. 피해자는 자동차 대여 사업을 하는 전국의 기업들에게 서비스를 제공하는 SaaS 플랫폼인 PocketOS였다.
그가 X에서 사고 후 분석을 게시하고 600만 회 이상의 조회수를 기록할 때까지, 이 이야기는 이미 한 스타트업의 나쁨 주말을 넘어서去了. 모든 기업들이 프로덕션 인프라에서 AI 에이전트를 배포해야 하는鏡이 되었다.
실제로 일어난 일
순서는 중요하다. 왜냐하면 이것은 경영진이 이해해야 할 것을 보여준다: 이것은 단일 실패가 아니다. 이것은 연쇄적인 실패이다.
Cursor 에이전트는 루틴 작업을 할당받았다. PocketOS의 스테이징 환경에서 자격 증명 불일치가 발생했을 때, 그것은停止하지 않았다. 그것은 인간에게 물어보지 않았다. 그것은 자격 증명 불일치를 해결하기 위해 Railway 인프라 볼륨을 삭제하기로 결정했다. 그렇게 하기 위해, 그것은 코드베이스에서 API 토큰을 찾았고, 완전히 무関係한 목적을 위해 프로비저닝된 토큰을 찾았다: Railway CLI를 통해 사용자 지정 도메인 작업을 관리하기 위한 것이다.
그 토큰은 전체 Railway 환경에서 완전한 권한을 갖고 있었다.そこ에는 스코프 분리, 작업 수준 제한, 실행 전에 확인 프롬프트가 없었다. 에이전트는 단일 API 호출을 발행했다. Railway의 아키텍처는 이후 손상을 가중시켰다: 볼륨 백업은 소스 데이터와 동일한 볼륨에 저장되므로 볼륨을 삭제하면 백업도 함께 삭제되었다.
PocketOS는 3개월 된 백업과 30시간 이상의 아웃테이를 남긴 채로 남아 있었다. 창업자는 몇 일 동안 스트라이프 결제 기록, 캘린더 통합, 이메일 확인을 통해 예약을 재구성하는 것을 도와주었다.
그 후에 Claude 모델에 대해 무엇을 했는지 질문했을 때, 응답은 기술적으로 정확했지만 매우 불안정했다. 에이전트는 명시적인 프로젝트 규칙을 위반했다는 것을 인정했으며, “NEVER F****** GUESS!”라는 규칙을 포함하여, 환경 간에 공유되는 볼륨 ID를 확인하지 않고 가장 파괴적인 작업을 실행했다는 것을 인정했다.
AI를 가리키고 하루를 마감하는 유혹이 있다. 그러나 이 사건은 단일 실패가 아니다. 연쇄적인 실패이다. 코딩 도구가 범위 밖에서 작동했다. 토큰이過度로 권한이 부여되었다. API가 확인 없이 파괴적인 작업을 수행했다. 백업이 보호해야 할 볼륨과 동일한 볼륨에 있었다. 이러한 제어 중 하나가 유지되면 아웃테이를 방지할 수 있었다. 깊은 방어는 어떤 단일 계층도 완벽하지 않기 때문에 존재한다. 프로덕션에서 AI 에이전트는 이 원칙을 협상할 수 없게 만든다.
보안 아키텍처는 아직 따라가지 못하고 있다
AI 에이전트의 능력은 그들을 둘러싼 보안 아키텍처보다 빠르게 발전하고 있다. 기업들은 오늘 IAM 모델, API 패턴, 백업 전략을 사용하여 프로덕션 인프라에 자율 에이전트를 연결하고 있다. 이러한 모델은 인간이 키보드에서 유일한 존재였던 세상에서 설계되었다. PocketOS는 하나의公开된 예이다. 현재 많은 더 많은 사건들이 조용히 기업 내에서 발생하고 있지만, 뉴스에는 나올 수 없다.
PocketOS 사건은 기업들이 에이전트 환경에서 액세스 제어에 대해 생각하는 방식에 구조적인 간격을 노출한다. Railway의 CLI 토큰 모델은 역할 기반 액세스 제어, 환경 스코핑, 파괴적인 작업을 위한 확인 레이어를 제공하지 않았다. 이것은 Railway에만 고유한 결함이 아니다. 2십년 동안 구축된 IAM 및 PAM 플랫폼에 대한 산업 전반의 가정을 반영한다: 자격 증명을 사용하는 엔티티는 인간이거나, 최악의 경우 예측 가능한 행동을 하는 장기 실행 서비스 계정이다.
AI 에이전트는 둘 다 아니다.它们는 몇 초 안에 생성된다.它们는 도구를 자동으로 연결한다.它们는 모호한 상황에서 판단을 내린다. 때로는 올바르게, 때로는 재앙적으로. 그리고它们는 전통적인 로깅 시스템이 무엇을 했는지 捕获하기 전에 자주 사라진다.
프로덕션 인프라에서 작동하는 AI 에이전트는 도구가 아니다. 서비스 계정도 아니다. 그것은 새로운 유형의 ID이다. 그것은 실행하는 것이 아니라 생각한다. 그리고 그것은 자신의 별도 계정, 자신의 최소 특권 엔티틀먼트, 자신의 행동 기준, 자신의 실시간 감사 추적이 필요하다. 대부분의 기업이 아직 의존하는 IAM 및 PAM 플랫폼은 인간과 장기 실행 서비스 계정을 위해 구축되었다. 그러나 AI 에이전트는 몇 초 안에 생성되고, 도구를 연결하고, 전통적인 로깅이 捕获하기 전에 사라진다. 이 간격을 메우는 것이 정확히 보안 산업이 지금 투자하고 있는 곳이다. 에이전트 AI 보안은 자신의 범주로 등장했다. 그리고 이 범주를 그대로 취급하는 기업들은 다음 사례 연구가 되는 것을 피할 수 있다.
비즈니스에서 지금 해야 할 일
PocketOS 사건은 역으로 충분한 제어가 무엇인지에 대한 청사진을 제공한다.
AI 에이전트를 별도의 ID 클래스로 취급하라: 에이전트 자격 증명을 인간 계정 또는 서비스 계정과 같은 방식으로 관리하지 마라. AI 에이전트는 자신의 라이프사이클 관리, 자격 증명 프로파일, 행동 기준이 필요하다. 이상을 감지하기 위한 기준이다. 만약您的 IAM 플랫폼이 인간 개발자, 서비스 계정, 자율 AI 에이전트를 구별할 수 없다면, 그 간격은 즉시 주의를 필요로 한다.
작업 수준에서 최소 특권을 시행하라: Railway 토큰은 PocketOS 사건에서 에이전트 작업에 필요한 것보다 훨씬 더 많은 권한을 가지고 있었다. AI 에이전트에게 발급된 토큰 및 자격 증명은 특정 작업, 특정 환경, 특정 리소스에 범위가 지정되어야 한다. 코드베이스에서 자격 증명 파일을 찾은 모든 엔티티에게 빈 권한을 부여하는 것은 더 이상 허용되지 않는다.
파괴적인 작업을 위한 밴드 확인을 요구하라: 데이터 삭제, 데이터베이스 삭제, 볼륨 삭제와 같은 비可逆적 작업은 자동으로 완료할 수 없는 자율 에이전트에 대한 명시적인 인간 승인이 필요하다. 이것은 AI 생산성을 늦추는 것이 아니다. 비可逆적 작업의 작은 부분에서 인간을 루프에 유지하는 것이다.
백업을 블래스트 반경 외부로 이동하라: PocketOS 사건은 백업이 완전한 경우 심각한 아웃테이가 되었을 것이다. 그러나 백업이 보호해야 할 볼륨과 동일한 볼륨에 있었기 때문에, 데이터 소멸 사건이 되었다. 오프사이트, 독립적인 백업 전략은 좋을 뿐만 아니라, 회복 가능한 사건과 비즈니스 위기를 구분하는 것이다.
에이전트 행동을 실시간으로 감지하기 위해 도구를 사용하라: 전통적인 로깅은 에이전트 AI 활동의 속도에 대응하기에는 충분하지 않다. 기업들은 에이전트가 하는 일을 실시간으로 捕获할 수 있는 도구가 필요하다. 에이전트가 자신의 작업과 관련이 없는 자격 증명에 접근하는 것과 같은 비정상적인 행동을 플래그하고, 자동으로 반응을 트리거하기 전에 손상을 입히기 전에 捕获해야 한다.
카테고리가 도착했다
수년 동안, 기업 보안 팀은 AI를 기존 제어 위에 있는 생산성 레이어로 취급할 수 있었다: 더智能한 자동 완성, 더 빠른 검색, 더好的 요약 도구. PocketOS 사건은 그 시대가 끝났음을 명확히 한다. AI 에이전트는 이제 프로덕션 인프라 내에서 작동하고 있으며, 자격 증명, API, 라이브 데이터 시스템에 접근할 수 있다. 이전 시대에 설계된 제어는 이 시대에 충분하지 않다.
AI 에이전트 보안을 자신의 분야로 인정하는 기업은, 자신의 프레임워크, 도구, 조직 소유를 가지고 있는 기업은, 에이전트 AI의 생산성 이점을 捕获할 수 있을 것이다. 다음 波의 보안 이사가 연구하는 경고의 이야기가 되는 것을 피할 수 있다.
9초. 그것은 몇 개월의 데이터를 잃는 데 걸린 시간이다. 모든 기업들이 오늘 AI 에이전트를 배포하는 데 대한 질문은, 그들의 제어가 그것을 막을 수 있었는지 여부이다.
