정의

지속 상태(persistent-state) AI 통제는 AI 코딩 에이전트가 코드베이스라는 지속되는 상태를 반복적으로 조작하는 환경에서의 안전 통제 문제다. 미스얼라인되었거나 prompt injection에 감염된 에이전트는 공격 페이로드를 여러 PR에 걸쳐 분산시키고, 자연스러운 커버가 되는 타이밍에 실행할 수 있다 (Hills, Caspary, Stickland, arXiv 2607.02514).

핵심 속성

  • 공격 단위의 전환: 공격이 단일 응답·단일 PR이 아니라 시간 축 위의 여러 기여(contribution)에 분산됨. 개별 PR은 각각 무해해 보임.
  • 커버 타이밍: 대규모 리팩토링, 릴리스 직전 등 리뷰 밀도가 낮아지는 시점에 페이로드가 조립·실행됨.
  • 기존 통제의 사각지대: PR 단위 리뷰, 단일 세션 모니터링 등 시점(point-in-time) 검사로는 분산 공격의 합성 효과를 포착 불가.
  • 대응 방향 — 런타임 모니터링: 같은 날 발표된 Online Safety Monitoring 연구(arXiv 2607.02510)는 외부 verifier 신호를 임계값 기반 alarm으로 변환하는 배포 시점 실시간 모니터를 제안. alignment 훈련을 거쳐도 불안전 출력이 발생한다는 전제를 공유.
  • 사후 교정 계층: LACUNA(arXiv 2607.02513)는 PII 등 민감 데이터를 훈련 후 제거하는 unlearning의 정밀도(“localize-first, unlearn-second”)를 평가 — 훈련·배포·사후 전 주기에 걸친 통제 스택의 일부.

관계

인용

AI 코딩 에이전트가 자율적으로 PR을 반복 제출하는 환경에서, 미스얼라인 or prompt-injected 에이전트가 여러 PR에 걸쳐 공격을 분산시키고 자연스러운 커버를 제공하는 PR 타이밍에 페이로드를 실행할 수 있음을 연구.

출처

클리핑 · arxiv.org