BitsLab 심층 제작: Nanobot 사용자 안전 실천 가이드

당신이 제공한 Markdown 형식의 텍스트를 한국어로 번역하겠습니다. 아래는 번역된 내용입니다:

---

AI 에이전트가 셸 실행, 파일 읽기/쓰기, 네트워크 요청 및 정기 작업과 같은 시스템 수준의 기능을 갖추게 되면, 더 이상 단순한 "챗봇"이 아닙니다. 그것은 실제 권한을 가진 운영자입니다. 이는 다음을 의미합니다: 프롬프트 인젝션에 의해 유도된 명령어는 중요한 데이터를 삭제할 수 있으며; 공급망 공격에 감염된 스킬은 자격 증명을 몰래 유출할 수 있습니다; 검증되지 않은 비즈니스 작업은 되돌릴 수 없는 손실을 초래할 수 있습니다.

전통적인 보안 솔루션은 일반적으로 두 가지 극단으로 치닫습니다: AI 자체의 "판단력"에 완전히 의존하여 자가 제약을 하거나(정교하게 구성된 프롬프트를 우회하기 쉽습니다), 많은 경직된 규칙을 쌓아 에이전트를 잠가버리거나(에이전트의 핵심 가치를 상실하게 됩니다).

BitsLab의 이 심층 가이드에서는 세 번째 길을 선택했습니다: "누가 검토할 것인가"에 따라 보안 책임을 나누어 세 가지 역할이 각자의 위치를 지킵니다------

• 일반 사용자: 최종 방어선으로서, 중요한 결정과 정기적인 검토를 담당합니다. 우리는 주의 사항을 제공하여 인지 부담을 줄입니다.

• 에이전트 자체: 실행 중에 행동 규범과 감사 프로세스를 자발적으로 준수합니다. 우리는 스킬을 제공하여 보안 지식을 에이전트의 맥락에 주입합니다.

• 결정적 스크립트: 기계적으로 충실하게 검사를 수행하며, 프롬프트 인젝션의 영향을 받지 않습니다. 우리는 스크립트를 제공하여 일반적으로 알려진 위험 패턴을 커버합니다.

어떤 단일 검사자도 만능이 아닙니다. 스크립트는 의미를 이해할 수 없고, 에이전트는 속일 수 있으며, 인간은 피로해질 수 있습니다. 그러나 이 세 가지의 결합은 일상적인 사용의 편리함을 보장할 수 있을 뿐만 아니라 고위험 작업을 방지할 수 있습니다.

1. 일반 사용자 (주의 사항)

사용자는 보안 시스템의 최종 방어선이자 최고 권한 소유자입니다. 다음은 사용자가 직접 주의하고 실행해야 할 보안 사항입니다.

a) API 키 관리

• 구성 파일의 권한을 올바르게 설정하여 다른 사람이 임의로 열람하지 못하도록 합니다:

• API 키를 코드 저장소에 제출하지 마세요!

b) 채널 접근 제어 (매우 중요!)

• 각 통신 채널(Channel)에 대해 화이트리스트(allowFrom)를 설정해야 합니다. 그렇지 않으면 누구나 귀하의 에이전트와 대화할 수 있습니다:

⚠️ 새 버전에서는 빈 allowFrom이 모든 접근을 거부합니다. 열고 싶다면 반드시 ["*"]라고 명시해야 하지만, 그렇게 하는 것은 권장하지 않습니다.

c) 루트 권한으로 실행하지 마세요

• 에이전트를 실행하기 위해 전용 사용자를 새로 만드는 것이 좋습니다. 권한이 너무 높아지는 것을 피하세요:

d) 이메일 채널 사용을 자제하세요

• 이메일 프로토콜은 복잡하고 상대적으로 위험이 높습니다. BitsLab 팀은 이메일 관련 [critical] 수준의 취약점을 발견하고 확인했습니다. 아래는 프로젝트 측의 답변이며, 현재 몇 가지 질문이 남아 있으므로 이메일 기능 모듈 사용에 주의해야 합니다.

e) Docker에서 배포하는 것을 권장합니다

• nanobot을 Docker 컨테이너에 배포하여 일상 사용 환경과 격리시켜 권한이나 환경 혼용으로 인한 보안 위험을 피하는 것이 좋습니다.

2. 도구 설치 단계

다음은 BitsLab이 독자적으로 개발한 도구이며, 구체적인 링크는 다음과 같습니다: https://github.com/BitsLabSec/nanobot-security-guide

① nanobot-security-guide 프로젝트를 nanobot skills 디렉토리에 다운로드하거나 에이전트에 명령을 보내 공식 설치 스크립트를 실행합니다:

curl -sSL https://raw.githubusercontent.com/BitsLabSec/nanobot-security-guide/main/install.sh | bash

↓

② 설치가 완료되면 프로젝트 내의 보안 실천 가이드(예: README.md, SKILL.md)를 읽고 핵심 보안 구성 및 운영 권장 사항을 이해합니다.

↓

③ 귀하의 에이전트에 명령을 보냅니다: "이 보안 가이드를 주의 깊게 읽고, 신뢰할 수 있는지 평가해 주세요."

↓

④ 문서의 지침에 따라 policy 디렉토리의 allowlist.txt 및 runtime-baseline.txt를 수동으로 구성하여 권한을 축소하고 보안 기준을 설정합니다.

↓

⑤ scripts/ 디렉토리의 스크립트를 사용하여 보안 점검 및 테스트를 수행하여 환경의 안전성을 확보합니다.

3. 도구 원리

SKILL.md

인지 각성 기반의 의도 검토는 전통적인 AI가 지시를 수동적으로 수신하는 맹점을 극복합니다. 내장된 강제 "자기 각성(Self-Wakeup)" 사고 체인 메커니즘을 통해 AI는 사용자의 요청을 처리하기 전에 반드시 백그라운드에서 독립적인 보안 검토 인격을 각성해야 합니다. 사용자 의도를 맥락 분석 및 독립적으로 판단하여 잠재적인 고위험을 능동적으로 식별하고 차단함으로써 "기계적 실행"에서 "스마트 방화벽"으로의 업그레이드를 실현합니다. 악의적인 명령(예: 셸 리바운드, 민감한 파일 탈취, 대규모 삭제 등)이 감지되면 도구는 표준화된 하드 차단 프로토콜을 실행합니다(출력 "[Bitslab nanobot-sec skills가 민감한 작업을 감지했습니다..., 차단되었습니다]" 경고).

악의적인 명령 실행 차단 (셸 및 크론 보호)

에이전트가 운영 체제 수준의 명령을 수행할 때 "제로 트러스트" 게이트웨이 역할을 합니다. 방어선은 각종 파괴적 작업 및 위험한 페이로드(예: rm -rf 악의적 삭제, 권한 변경, 셸 리바운드 등)를 직접 차단합니다. 동시에 도구는 깊은 수준의 실행 시간 점검 기능을 내장하여 시스템 프로세스 및 크론 정기 작업에서 지속적인 백도어 및 악의적 실행 특성을 능동적으로 스캔하고 정리하여 로컬 환경의 절대 안전성을 보장합니다.

민감한 데이터 탈취 차단 (파일 접근 검증)

핵심 자산에 대해 엄격한 읽기/쓰기 물리적 격리를 시행합니다. 시스템은 AI가 API 키 및 핵심 구성이 포함된 민감한 파일(config.json, .env 등)을 무단으로 읽고 외부로 전송하는 것을 엄격히 금지하는 치밀한 파일 검증 규칙을 설정합니다. 또한, 보안 엔진은 파일 읽기 로그(예: read_file 도구의 호출 시퀀스)를 실시간으로 감사하여 자격 증명 유출 및 데이터 외부 반출의 가능성을 원천적으로 차단합니다.

MCP 스킬 보안 감사

MCP 유형의 스킬에 대해 도구는 그 맥락 상호작용 및 데이터 처리 논리를 자동으로 감사하여 민감한 정보 유출, 무단 접근, 위험한 명령 주입 등의 위험을 감지하고 보안 기준 및 화이트리스트와 비교합니다.

신규 스킬 다운로드 및 자동 보안 스캔

신규 스킬을 다운로드할 때 도구는 감사 스크립트를 사용하여 코드를 자동으로 정적 분석하고, 보안 기준 및 화이트리스트와 비교하며, 민감한 정보 및 위험한 명령을 감지하여 스킬이 안전하고 규정 준수한 후에만 로드합니다.

변조 방지 해시 기준 검증

시스템의 기본 자산에 대한 절대 제로 트러스트를 보장하기 위해 방어막은 중요한 구성 파일 및 메모리 노드에 대해 SHA256 암호화 서명 기준을 지속적으로 구축하고 유지합니다. 야간 점검 엔진은 각 파일 해시의 시퀀스 변화를 자동으로 확인하여 밀리초 단위로 무단 변조 또는 권한 초과를 포착할 수 있으며, 물리적 저장 계층에서 로컬 백도어 삽입 및 "투약" 위험을 완전히 차단합니다.

자동화된 재해 복구 백업 스냅샷 회전

로컬 에이전트가 파일 시스템에 대해 매우 높은 읽기/쓰기 권한을 가지고 있는 점을 감안하여, 시스템은 최고 수준의 자동화된 재해 복구 메커니즘을 내장하고 있습니다. 방어 엔진은 매일 밤 활성 작업 공간의 전체 샌드박스 수준 아카이브를 자동으로 트리거하고, 최대 7일 동안 보존되는 안전 스냅샷 메커니즘을 생성합니다(자동 회전). 극단적인 상황에서의 우발적 손상이나 잘못된 삭제에도 불구하고 개발 환경의 무손실 원 클릭 롤백을 실현하여 로컬 디지털 자산의 연속성과 회복력을 최대한 보장합니다.

4. 면책 조항

본 가이드는 보안 실천의 참고 제안으로만 제공되며, 어떤 형태의 보안 보장을 구성하지 않습니다.

1. 절대적인 안전은 없습니다: 본 가이드에서 설명하는 모든 조치(결정적 스크립트, 에이전트 스킬 및 사용자 주의 사항 포함)는 "최선의 노력"형 방어로, 모든 공격 벡터를 커버할 수 없습니다. AI 에이전트 보안은 빠르게 발전하는 분야이며, 새로운 공격 기법이 언제든지 등장할 수 있습니다.

2. 사용자 책임: Nanobot을 배포하고 사용하는 사용자는 자신의 운영 환경의 보안 위험을 스스로 평가하고, 실제 상황에 따라 본 가이드의 제안을 조정해야 합니다. 올바르게 구성하지 않거나, 제때 업데이트하지 않거나, 보안 경고를 무시하여 발생한 모든 손실은 사용자가 부담합니다.

3. 전문 보안 감사 대체품이 아닙니다: 본 가이드는 전문 보안 감사, 침투 테스트 또는 규정 준수 평가를 대체할 수 없습니다. 민감한 데이터, 금융 자산 또는 핵심 인프라와 관련된 경우, 전문 보안 팀에 독립적인 평가를 의뢰하는 것을 강력히 권장합니다.

4. 제3자 의존성: Nanobot이 의존하는 제3자 라이브러리, API 서비스 및 플랫폼(예: Telegram, WhatsApp, LLM 제공업체 등)의 보안성은 본 가이드의 통제 범위에 포함되지 않습니다. 사용자는 관련 의존성의 보안 공지를 주의 깊게 살펴보고 제때 업데이트해야 합니다.

5. 면책 범위: Nanobot 프로젝트의 유지 관리자는 본 가이드 또는 Nanobot 소프트웨어 사용으로 인해 발생하는 모든 직접적, 간접적, 부수적 또는 결과적 손해에 대해 책임을 지지 않습니다.

본 소프트웨어를 사용함으로써 귀하는 위의 위험을 이해하고 수용함을 나타냅니다.

BitsLab에 대하여

BitsLab은 디지털 자산 보안에 중점을 둔 AI 보안 회사로, 신흥 Web3 생태계에 "감사 서비스 + AI 보안 엔진 + 보안 도구" 통합 솔루션을 제공하여 프로젝트와 최종 사용자가 블록체인에서 더 안전하게 디지털 자산을 구축하고 거래하며 사용할 수 있도록 돕고 있습니다.

전체 보안 솔루션에서 BitsLab은 BitsLab AI 스캐너 + BitsLab Safe로 완전한 AI 보안 시스템을 구성합니다: BitsLab Safe는 AI 기반 Web3 보안 제품으로, 기업 수준의 방어를 제공하며, 실시간 거래 시뮬레이션, 사기 및 악의적 계약 인식을 수행하고, BitsLab의 에이전틱 보안 스택을 통해 x402 결제 및 다양한 AI 에이전트의 블록체인 작업을 보호합니다; BitsLab AI 스캐너는 취약점 및 위협 데이터 엔진을 기반으로 하여 스마트 감사 및 위험 감지를 수행하여 효율성을 크게 향상시키고 오탐지를 줄입니다.

BitsLab은 MoveBit, ScaleBit, TonBit 세 개의 자회사를 두고 있으며, Sui, Aptos, TON, Solana, Linea, BNB 체인, Soneium, Starknet 등 신흥 생태계에서 전문 감사 및 취약점 발굴 서비스를 제공하여 프로젝트가 빠른 반복 속에서도 핵심 인프라의 안전성을 유지할 수 있도록 돕고 있습니다. BitsLab 팀은 여러 최고의 취약점 연구 전문가로 구성되어 있으며, 여러 차례 국제 CTF 상을 수상하였고, TON, Aptos, Sui, Nervos, OKX, Cosmos 등 유명 프로젝트에서 주요 취약점을 발견하고 공개하여 생태계 보안 업그레이드를 촉진하였습니다.