브라우저 및 컴퓨터 사용 샌드박스는 세션, 파일 시스템 및 다운로드, 자격 증명, 쿠키, 네트워크 액세스, 도구 동작, 스크린샷 및 녹화, 로그를 격리하고, AI 에이전트가 웹사이트, 애플리케이션, 파일을 조작하는 동안 신뢰 경계를 조용히 확장하지 못하도록 상태를 초기화해야 합니다.
브라우저 및 컴퓨터 사용 에이전트에 샌드박스가 필요한 이유
브라우저 사용 및 컴퓨터 사용 에이전트는 일반 챗봇과 다릅니다. 단순히 질문에 답하는 대신 클릭하고, 입력하고, 파일을 다운로드하고, 웹 페이지를 읽고, 양식을 작성하며, 때로는 완전한 데스크톱 환경처럼 작동합니다. 따라서 런타임이 보안 모델의 일부가 됩니다.
텍스트 전용 어시스턴트는 잘못된 답변을 낼 수 있습니다. 브라우저나 컴퓨터 사용 에이전트는 잘못된 동작을 수행할 수 있습니다. 양식을 제출하거나, 세션 쿠키를 로그에 유출시키거나, 안전하지 않은 파일을 다운로드하거나, 작업 공간을 덮어쓰거나, 웹페이지에 숨겨진 프롬프트 인젝션을 따르거나, 사용할 수 없어야 하는 컨텍스트에서 자격 증명을 사용할 수 있습니다.
샌드박스는 이러한 동작이 제한되는 공간입니다. 다음과 같은 실질적인 질문에 답해야 합니다.
- 브라우저에 로그인된 계정은 무엇인가요?
- 에이전트가 읽거나 쓸 수 있는 파일은 무엇인가요?
- 에이전트가 접촉할 수 있는 도메인은 무엇인가요?
- 작업 후에도 유지되는 쿠키와 토큰은 무엇인가요?
- 어떤 클릭, 명령, 스크린샷, 파일 변경 사항을 나중에 검토할 수 있나요?
- 작업이 종료되면 무엇이 삭제되나요?
목표는 샌드박스가 모든 위험을 제거한다고 가장하는 것이 아닙니다. 목표는 에이전트의 작동 환경을 좁고, 관찰 가능하며, 초기화 가능하게 만드는 것입니다. 모델이나 도구가 잘못된 결정을 내릴 경우, 폭발 반경을 의도적으로 노출한 세션과 리소스로 제한해야 합니다.
브라우저 세션에서 격리해야 할 것
브라우저 프로필부터 시작하세요. 브라우저 에이전트는 개발자의 일일 브라우저 프로필, 개인 확장 프로그램, 저장된 비밀번호, 영구 쿠키, 관리되지 않는 다운로드 디렉토리를 사용해서는 안 됩니다. 상태를 공유할 의도적인 이유가 없다면 각 작업, 사용자 또는 워크플로우에 자체 프로필 경계를 부여하세요.
최소한 샌드박스가 다음을 분리하는지 평가하세요.
| 경계 | 분리하지 않을 때 발생할 수 있는 문제 | 확인할 사항 |
|---|---|---|
| 브라우저 프로필 | 에이전트가 관련 없는 로그인, 확장 프로그램, 쿠키, 자동 완성, 검색 기록을 상속받음 | 작업별 또는 사용자별 프로필, 명시적인 영속성 규칙, 확장 프로그램 제어 |
| 세션 수명 주기 | 이전 작업 상태가 다음 작업 결과를 변경함 | 새 세션 생성, 스냅샷 복원, 정리 및 만료 동작 |
| 탭 및 창 | 에이전트가 잘못된 컨텍스트의 콘텐츠를 읽거나 클릭함 | 탭 범위 지정, 활성 창 추적, 이벤트 로그 |
| 브라우저 저장소 | LocalStorage, IndexedDB, 캐시, 서비스 워커가 민감한 상태를 유지함 | 저장소 초기화, 내보내기 규칙, 도메인 범위 정리 |
| 다운로드 | 웹 파일이 공유 디렉토리에 저장됨 | 격리된 다운로드 폴더, 파일 형식 정책, 필요한 경우 맬웨어 검사 워크플로우 |
브라우저를 단순한 UI 래퍼가 아닌 작업 공간으로 취급하세요. 최신 웹 애플리케이션은 쿠키, 로컬 저장소, 캐시, 서비스 워커, 백그라운드 요청, 다운로드된 파일에 의미 있는 상태를 유지합니다. 샌드박스가 브라우저 창만 열고 해당 상태에 대한 처리를 정의하지 않으면 격리 경계가 불완전합니다.
컴퓨터 사용 환경에서는 동일한 원칙이 브라우저를 넘어 확장됩니다. 에이전트가 터미널, 파일 관리자, 문서 편집기, 로컬 미리보기 서버, GUI 애플리케이션과 상호작용할 수 있습니다. 해당 환경에는 범위가 지정된 홈 디렉토리, 명확한 마운트 지점, 작업 아티팩트를 런타임 내부와 분리하는 방법이 필요합니다.
쿠키, 계정, 자격 증명 처리 방법
쿠키와 로그인된 계정은 종종 브라우저 자동화에서 가장 민감한 부분입니다. 유효한 세션을 가진 브라우저 에이전트는 모델이 원시 비밀번호를 보지 못하더라도 계정이 허용하는 모든 작업을 수행할 수 있습니다.
가능하면 에이전트 작업에 별도의 계정을 사용하세요. 계정은 워크플로우에 필요한 최소 권한을 가져야 하며, 샌드박스는 쿠키가 주입되었는지, 로그인 중에 생성되었는지, 실행 간에 유지되는지, 완료 후 삭제되는지 명확히 해야 합니다.
자격 증명 처리는 더 엄격한 규칙이 필요합니다. 웹사이트가 요청할 수 있다는 이유만으로 에이전트에게 광범위한 비밀을 제공하지 마세요. 범위가 지정되고 시간 제한이 있는 토큰, 워크플로우별 자격 증명, 에이전트가 원시 비밀을 읽지 않고 좁은 도구를 호출하는 브로커 액세스를 선호하세요. 비밀이 샌드박스 내에서 사용 가능해야 하는 경우, 환경 변수, 마운트된 파일, 브라우저 자격 증명, 또는 도구 전용 기능으로 표시할지 결정하세요.
다음과 같은 안티패턴을 주의하세요.
- 개인 또는 관리자 쿠키가 포함된 공유 브라우저 프로필.
- 승인 없이 모델이 페이지에 붙여넣은 비밀.
- 샌드박스의 모든 도구에서 사용 가능한 API 키.
- 전체 페이지 스크린샷 또는 디버그 로그에 캡처된 세션 쿠키.
- 프로덕션 계정에 대해 활성화된 양식 자동 완성.
- 다운로드된 파일, 셸 히스토리 또는 브라우저 저장소에 남아 있는 장기 자격 증명.
LLM 애플리케이션에 대한 OWASP 가이드는 에이전트 시스템에서 프롬프트 인젝션과 과도한 권한을 반복적인 위험으로 강조합니다. 브라우저 에이전트의 경우 이러한 위험이 웹과 직접 만납니다. 페이지에는 모델에 영향을 주려는 지침이 포함될 수 있고, 모델에는 실제 작업을 수행하는 도구가 있을 수 있습니다. 격리는 지침 수행만으로는 충분하지 않을 때 두 번째 방어선을 제공합니다.
다운로드, 파일 및 클립보드 데이터 관리 방법
다운로드는 신뢰 경계입니다. 브라우저 에이전트는 PDF, 스프레드시트, 아카이브, 스크린샷, 인보이스, 빌드 아티팩트, 실행 파일을 저장할 수 있습니다. 이러한 파일은 공유 데스크톱 폴더나 프로덕션 작업 공간이 아닌 샌드박스 소유 디렉토리에 저장되어야 합니다.
실용적인 다운로드 정책은 다음을 포함해야 합니다.
- 허용된 파일 형식 및 최대 파일 크기.
- 다운로드된 파일을 자동으로 열 수 있는지 여부.
- 파일을 다른 사이트에 업로드할 수 있는지 여부.
- 파일을 검사, 해싱 또는 로깅하는 방법.
- 실행 종료 시 샌드박스에서 내보낼 파일.
- 임시 파일 삭제 방법.
컴퓨터 사용 에이전트의 경우 파일 경계가 더 중요합니다. 에이전트가 작업의 일부로 로컬 파일을 생성하거나 수정할 수 있기 때문입니다. 코딩 에이전트는 리포지토리를 편집할 수 있습니다. 데이터 에이전트는 차트를 만들 수 있습니다. 브라우저 에이전트는 CSV를 다운로드하고 변환한 후 결과를 업로드할 수 있습니다. 각 경로는 명시적이어야 합니다. 입력이 도착하는 위치, 작업 파일이 있는 위치, 승인된 출력이 내보내지는 위치, 지워지는 위치입니다.
클립보드 액세스는 별도의 결정이 필요합니다. GUI 자동화에 편리하지만, 관련 없는 애플리케이션 간에 민감한 텍스트를 이동할 수도 있습니다. 에이전트가 클립보드를 읽을 수 있다면 몇 초 전에 인간이 복사한 토큰을 볼 수 있습니다. 클립보드에 쓸 수 있다면 인간의 다음 붙여넣기 동작에 영향을 줄 수 있습니다. 민감한 워크플로우에서는 클립보드 액세스를 세션 로컬로 만들거나 인간-샌드박스 경계를 넘기 전에 명시적 승인을 요구하세요.
화면 상호작용도 유사한 문제가 있습니다. 컴퓨터 사용 에이전트는 스크린샷, 접근성 트리, 렌더링된 UI 상태를 기반으로 작동합니다. 스크린샷에는 개인 데이터, 계정 이름, 토큰, 문서 텍스트, 고객 기록이 포함될 수 있습니다. 스크린샷을 보관, 편집, 모델 제공자에게 스트리밍, 또는 재생을 위해 저장할지 결정하세요. 무해한 디버깅 이미지로 취급하지 마세요.
DOM 작업, 스크린샷 및 재생 추적 로깅 방법
브라우저 샌드박스는 작업을 검토 가능하게 만들어야 합니다. 에이전트가 버튼을 클릭하거나 양식을 제출할 때 보안 팀이나 개발자가 최종 결과를 추측하지 않고 무슨 일이 일어났는지 재구성할 수 있어야 합니다.
브라우저 자동화의 경우 유용한 로그는 다음과 같습니다.
- 방문한 URL 및 출처.
- 각 작업에 사용된 DOM 선택자 또는 접근성 대상.
- 비밀 편집이 적용된 입력된 텍스트.
- 양식 제출 이벤트.
- 시작 및 완료된 다운로드.
- 도메인 또는 엔드포인트 수준의 네트워크 요청.
- 콘솔 오류 및 페이지 오류.
- 민감한 단계 전후의 스크린샷 체크포인트.
컴퓨터 사용 자동화의 경우 도구 호출, 프로세스 시작, 셸 명령, 파일 읽기 및 쓰기, 창 포커스 변경, 내보낸 아티팩트를 추가하세요. 로그는 모델이 요청한 것, 자동화 계층이 실행한 것, 환경이 반환한 것을 구분해야 합니다. 이 구분은 프롬프트 인젝션, 불안정한 UI 동작, 도구 래퍼 버그를 디버깅할 때 중요합니다.
재생은 유용하지만 데이터 보존 문제가 발생합니다. 전체 재생 추적에는 스크린샷, 페이지 텍스트, 양식 내용, 파일 이름, 터미널 출력, 자격 증명이 포함될 수 있으며, 편집 기능이 내장되지 않은 경우 더욱 그렇습니다. 누가 재생에 액세스할 수 있는지, 얼마나 오래 보존되는지, 민감한 값이 저장소 전에 마스킹되는지 미리 결정하세요.
적절한 세부 수준은 워크플로우에 따라 다릅니다. 공개 가격 모니터링 에이전트는 가벼운 로그가 필요할 수 있습니다. 고객 계정, 결제 페이지, 인프라 콘솔, 내부 도구를 다루는 에이전트는 더 강력한 감사 추적과 더 엄격한 보존 제어가 필요합니다.
네트워크, 승인 및 초기화 경계 설정 방법
네트워크 액세스는 브라우저 샌드박스가 조용히 확장될 수 있는 부분입니다. 작업은 한 웹사이트에서 시작하여 타사 스크립트를 로드하고, 리디렉션을 따르고, API를 호출하고, 패키지를 다운로드하거나, 내부 도메인에 도달할 수 있습니다. 샌드박스가 광범위한 아웃바운드 액세스를 가지고 있다면 에이전트는 애플리케이션 소유자가 예상하지 못한 곳으로 데이터를 이동할 수 있습니다.
브라우저 및 컴퓨터 사용 에이전트의 경우 다음을 고려하세요.
- 예상 웹 대상에 대한 도메인 허용 목록.
- 내부 메타데이터 서비스 및 개인 네트워크 범위에 대한 차단.
- 패키지 레지스트리, 객체 스토리지, 웹 검색에 대한 별도 정책.
- 보안 검토가 필요한 경우 DNS 로깅.
- 세션 및 작업에 연결할 수 있는 이그레스 로그.
되돌리기 어렵거나 법적으로 의미 있는 작업 앞에는 인간 승인이 있어야 합니다. 예를 들어 구매 제출, 메시지 전송, 계정 설정 변경, 파일 삭제, 자격 증명 순환, 사용자 초대, 지원 티켓 열기, 고객 데이터 업로드 등이 있습니다. 승인 이벤트는 에이전트가 의도한 작업, 관련 페이지 또는 파일, 승인된 정확한 작업을 캡처해야 합니다.
초기화 동작은 마지막 경계입니다. 좋은 샌드박스는 작업이 종료될 때 어떤 일이 발생하는지 명확히 해야 합니다.
| 상태 | 초기화 질문 |
|---|---|
| 브라우저 쿠키 | 삭제, 유지 또는 체크포인트됩니까? |
| 브라우저 저장소 | 캐시, 로컬 저장소, IndexedDB, 서비스 워커 상태가 지워집니까? |
| 다운로드 | 파일이 삭제, 검토용 보존, 또는 통제된 위치로 내보내집니까? |
| 자격 증명 | 토큰이 취소, 순환 또는 환경에서 제거됩니까? |
| 로그 및 재생 | 무엇이 보존, 편집, 그리고 얼마나 오래 유지됩니까? |
| 네트워크 액세스 | 임시 허용 목록 또는 프록시 자격 증명이 제거됩니까? |
| 파일 시스템 | 작업 공간이 지워지고, 스냅샷되거나 재사용됩니까? |
영구 세션은 장기 실행 에이전트에 유용하지만, 영속성은 의도적이어야 합니다. 브라우저 프로필, 파일 시스템 또는 프로세스 상태가 실행 간에 유지된다면 왜 유지되는지, 누가 초기화할 수 있는지 문서화하세요.
Novita 에이전트 샌드박스가 이 평가에 어떻게 부합하는지
Novita 에이전트 샌드박스는 격리된 클라우드 환경에서 AI 에이전트 워크로드를 실행하기 위해 설계되었습니다. 제품 페이지에서는 코드 실행, 브라우저 사용, 컴퓨터 사용, 영구 세션, 라이브 세션 보기, 재사용 가능한 템플릿을 지원한다고 설명합니다. Novita 에이전트 샌드박스 빠른 시작 문서는 개발자가 샌드박스를 만들고, 명령을 실행하고, 파일로 작업하고, SDK를 통해 샌드박스를 관리하는 방법을 보여줍니다.
이러한 기능은 브라우저 에이전트, 코딩 에이전트, 데이터 분석 및 장기 실행 에이전트 워크플로우를 평가할 때 Novita를 관련성 있게 만듭니다. 평가는 여전히 위협 모델에 따라 구체적으로 이루어져야 합니다. 민감한 브라우저 또는 컴퓨터 사용 자동화에 샌드박스 제공자를 사용하기 전에 브라우저 프로필, 쿠키, 자격 증명 주입, 네트워크 이그레스, 스크린샷 보존, 파일 내보내기, 로그 및 초기화 의미 체계에 대해 필요한 정확한 동작을 확인하세요.
이미 Novita AI 모델을 사용하는 팀에게 실질적인 이점은 운영 적합성입니다. 추론과 에이전트 실행을 별도의 인프라 결정으로 취급하는 대신 동일한 빌더 플랫폼 내에서 계획할 수 있습니다. 그러나 제품 주장과 보안 가정을 분리하세요. 샌드박스는 유용한 격리 및 수명 주기 제어를 제공할 수 있지만, 애플리케이션에는 여전히 최소 권한 계정, 범위가 지정된 자격 증명, 승인 게이트, 에이전트가 수행하는 작업에 대한 감사 규칙이 필요합니다.
브라우저 및 컴퓨터 사용 샌드박스 체크리스트
에이전트에게 실제 웹사이트, 계정 또는 데스크톱 같은 작업 공간에 대한 액세스 권한을 부여하기 전에 이 체크리스트를 사용하세요.
| 영역 | 평가 질문 |
|---|---|
| 세션 | 각 작업에 격리된 브라우저 프로필 또는 작업 공간이 제공됩니까? |
| 계정 | 에이전트가 인간의 기본 계정이 아닌 최소 권한 계정을 사용합니까? |
| 쿠키 | 쿠키의 범위가 지정되고, 의도적으로 유지되며, 초기화 시 지워집니까? |
| 자격 증명 | 비밀의 범위가 지정되고, 시간 제한이 있으며, 로그에서 편집되고, 관련 없는 도구에서 사용할 수 없습니까? |
| 다운로드 | 파일이 명시적으로 내보내질 때까지 샌드박스 소유 디렉토리 내에 유지됩니까? |
| 클립보드 | 에이전트가 인간 클립보드 또는 세션 로컬 클립보드만 읽거나 쓸 수 있습니까? |
| 스크린샷 | 스크린샷이 보존, 편집 및 액세스 제어됩니까? |
| DOM 작업 | 클릭, 입력된 텍스트, 양식, 선택자, 페이지 출처가 기록됩니까? |
| 도구 호출 | 모델 의도와 실행된 도구 작업을 분리할 수 있습니까? |
| 네트워크 | 도메인, 개인 범위, 패키지 레지스트리, DNS 동작이 제어됩니까? |
| 승인 | 어떤 작업에 인간 확인 단계가 필요합니까? |
| 초기화 | 실행 후 정확히 무엇이 지워지고, 유지되고, 취소되거나 스냅샷됩니까? |
| 사고 검토 | 로그, 파일, 네트워크 이벤트 및 재생을 통해 무슨 일이 있었는지 재구성할 수 있습니까? |
FAQ
브라우저 샌드박스와 컴퓨터 사용 샌드박스의 차이점은 무엇인가요?
브라우저 샌드박스는 웹 브라우저가 할 수 있는 작업을 제한합니다. 사용 가능한 프로필, 쿠키, 저장소, 브라우저가 접촉할 수 있는 도메인, 허용된 다운로드 등입니다. 컴퓨터 사용 샌드박스는 더 광범위하며 브라우저 외에도 터미널 액세스, 파일 관리자, GUI 애플리케이션, 로컬 프로세스를 포함한 전체 데스크톱 환경을 다룹니다. 둘 다 초기화, 로깅, 자격 증명 범위 지정, 최소 권한 계정에 대한 동일한 핵심 문제를 공유하지만, 컴퓨터 사용 환경은 마운트된 디렉토리, 클립보드 액세스, 화면 데이터, 프로세스 격리에 대한 추가 결정이 필요합니다.
모든 에이전트 작업에 대해 별도의 브라우저 프로필이 필요합니까?
대부분의 경우 그렇습니다. 작업 간에 프로필을 공유하면 한 작업이 다른 작업이 남긴 쿠키, 로그인, 저장된 비밀번호, 브라우저 저장소를 볼 수 있습니다. 작업별 프로필은 의도하지 않은 상태 전이를 방지하는 가장 간단한 방법입니다. 워크플로우에 세션 지속성이 필요한 경우(예: 중단한 지점에서 계속하는 장기 실행 에이전트) 지속성을 명시적으로 만들고 어떤 상태가 어떻게 전이되는지 문서화하세요.
AI 에이전트가 샌드박스 내에서 자격 증명을 안전하게 처리할 수 있나요?
자격 증명은 통제되지 않은 환경보다 샌드박스 내에서 더 안전하지만, 샌드박스만으로 자격 증명 처리가 안전해지지는 않습니다. 주요 위험은 과도한 노출(작업에 필요한 것보다 더 많은 액세스 권한 부여), 누출(로그, 스크린샷, 디버그 출력에 자격 증명이 나타남), 지속성(작업 종료 후 토큰이나 쿠키가 계속 사용 가능)입니다. 범위가 지정되고 시간 제한이 있는 자격 증명을 선호하고, 원시 비밀이 아닌 좁은 도구 호출을 통해 액세스를 중개하며, 로그와 스크린샷이 저장 전에 민감한 값을 편집하는지 확인하세요.
AI 에이전트가 악성 파일을 다운로드하면 어떻게 되나요?
샌드박스 다운로드 정책이 폭발 반경을 결정합니다. 다운로드가 샌드박스 소유 디렉토리로 격리되고, 자동 열기가 비활성화되며, 파일 형식 제한이 적용되면 다운로드된 파일이 자동으로 실행되거나 더 넓은 파일 시스템에 도달할 수 없습니다. 이러한 제어 없이 악성 파일이 실행되거나, 공유 디렉토리에 도달하거나, 인간이 검토하기 전에 다른 곳에 업로드될 수 있습니다. 다운로드를 잠재적으로 신뢰할 수 없는 입력으로 취급하고, 허용되는 파일 형식, 샌드박스 내에서 열 수 있는지 여부, 검사 또는 로깅 방법에 대한 명시적 정책을 정의하세요.
브라우저 에이전트에서 프롬프트 인젝션을 어떻게 탐지하나요?
웹페이지의 프롬프트 인젝션은 모델 계층에서 안정적으로 탐지하기 어렵습니다. 샌드박싱은 주요 방어 제어 중 하나입니다. 악의적인 지침이 따르더라도 에이전트가 할 수 있는 작업을 제한하기 때문입니다. 실용적인 신호로는 예상치 못한 도구 호출 또는 탐색, 의도한 도메인 외부의 작업, 비정상적인 양식 제출, 자격 증명 또는 세션 데이터를 검색하거나 전송하려는 시도가 있습니다. 방문한 페이지, 대상이 된 선택자, 입력된 텍스트를 기록하는 좋은 DOM 작업 로그는 페이지가 에이전트의 행동에 영향을 미쳤는지 재구성하기 쉽게 만듭니다.
샌드박스를 사용하면 에이전트가 안전한가요?
샌드박스는 폭발 반경을 좁히지만 위험을 제거하지는 않습니다. 에이전트가 도달할 수 있는 범위와 초기화 후 유지되는 것을 제한하지만, 잘못된 모델 결정, 잘못 구성된 자격 증명 또는 애플리케이션 수준 취약점을 방지하지는 않습니다. 보안은 다음의 계층적 제어에 달려 있습니다. 최소 권한 계정, 범위가 지정된 자격 증명, 되돌릴 수 없는 작업에 대한 승인 게이트, 모델 의도와 실행된 작업을 캡처하는 감사 로그, 민감한 워크플로우가 프로덕션에 도달하기 전의 인간 검토입니다. 샌드박스는 하나의 계층일 뿐 완전한 답이 아닙니다.
스크린샷 및 재생 데이터는 얼마나 오래 보관해야 하나요?
보존 기간은 워크플로우의 민감도와 감사 요구 사항에 따라 다릅니다. 개인 데이터, 결제 시스템, 고객 계정 또는 내부 도구를 다루는 에이전트의 경우, 액세스 제어와 민감한 값(토큰, 양식 내용, 표시된 자격 증명)의 편집 기능이 있는 정의된 보존 기간이 합리적인 기준입니다. 민감도가 낮은 워크플로우의 경우 더 짧은 보존 또는 요약 전용 로깅이 적합할 수 있습니다. 배포 전에 누가 재생에 액세스할 수 있는지, 얼마나 오래 보관되는지, 어떻게 삭제되는지 결정하세요. 스크린샷을 무해한 디버그 아티팩트로 취급하지 마세요. 구조화된 로그보다 더 민감한 데이터를 포함하는 경우가 많습니다.
항상 인간 승인이 필요한 에이전트 작업은 무엇인가요?
되돌리기 어렵거나 법적으로 의미 있는 작업이 가장 명확한 후보입니다. 구매, 계정 설정 변경, 파일 삭제, 자격 증명 순환, 사용자 초대, 지원 티켓 제출, 규제 대상 데이터 업로드 등이 있습니다. 그 외에도 에이전트의 원래 작업 범위를 벗어난 모든 작업, 실행 시작 시 예상되지 않은 도메인이나 계정에 대한 작업, 작업에 명시적으로 필요하지 않은 파일의 다운로드 또는 실행에 대해 승인을 요구하는 것을 고려하세요. 승인 이벤트는 에이전트가 의도한 작업과 인간이 명시적으로 확인한 내용을 기록해야 합니다.
