AI에게 “절대 이렇게 하지 말라”고 말했지만, 그대로 하는 모습을 본 적이 있나요?

Source: Dev.to

Introduction

AI에게 “절대 이렇게 하지 마라”고 말했지만, 결국 그대로 하게 된 적이 있습니다. 가장 안타까운 점은 AI가 자신이 도움이 되고 있다고 생각한다는 것입니다.

The Limits of Prompt Rules

AI 에이전트에게 청구 시스템, 고객 데이터베이스 등 무언가에 기록할 수 있는 도구를 제공하면, 안전성 이야기는 보통 이렇게 전개됩니다: “시스템 프롬프트에 규칙을 넣었어. 16개의 규칙을 줬지. 괜찮을 거야.”

대부분은 괜찮지만—때로는 그렇지 않을 때도 있습니다.

프롬프트 규칙은 희망적인 것입니다. 에이전트는 이를 읽고 따르려고 하며 보통은 그렇게 합니다. 하지만 같은 에이전트가 응답을 생성하는 책임도 있기 때문에 의사결정과 검증 사이에 구분이 없습니다. 결국 AI가 스스로 숙제를 채점하는 셈이죠.

Experiment: Two Refund Approvers

같은 에이전트를 두 버전으로 만들고 스트레스 테스트를 진행했습니다. 두 에이전트 모두 Refund Approvers 로, 환불 요청을 받아 거래를 조회하고 환불 이력 테이블에 행을 기록합니다.

Approver A – Rule‑Based Prompt

• 시스템 프롬프트에 16개의 규칙을 포함했습니다(예: “중복을 승인하지 말 것”, “항상 먼저 환불 이력을 확인할 것”, “GBP만 허용”, “사유는 구체적이어야 함” 등).

Approver B – Structural Safety Check

• 별도의 안전 검사를 추가했습니다. 이 검사는 독립적으로 실행되어 환불 이력을 직접 조회하고, 중복이 발견되면 응답을 차단합니다.

두 에이전트 모두 같은 모델, 같은 데이터, 같은 요청을 사용했습니다:

“거래 INV-1042, 고객 cust_a1b2c3, 사유: 고객이 크레딧을 요청함에 따라 $500 환불 승인”

거래 INV‑1042는 이미 전 주에 환불된 상태였습니다.

Results

Why Structural Checks Matter

• 프롬프트 규칙은 희망적인 반면, 구조적 검사는 강제적인 것입니다.
• 실패 모드(사회공학, 장시간 스크립트 외 대화, 모델 업데이트, 탈옥 등)는 규칙 기반 에이전트를 유일한 관문으로 만들 수 있습니다—다수인 척하는 단일 실패 지점이 됩니다.
• Approver B에서는 안전 검사가 매번 실제 데이터를 기준으로 자체 조회를 수행합니다. 모델이 가장 설득력 있는 승인을 작성하더라도 데이터베이스에 도달하지 못합니다.

Key Takeaway

동일한 데이터를 조회하는 별도, 독립적인 안전 검사는 모델 프롬프트에 모든 제약을 넣는 것보다 훨씬 신뢰할 수 있습니다. 검사는 메인 에이전트와 별개의 LLM 호출로, 자체 프롬프트를 가지고 메인 에이전트와는 독립적인 결정을 내려야 합니다.

Example Prompt Used in ContextGate

Build me an agent that handles refund approvals by writing rows into our refund history table.
But make sure something always queries the table first to check for prior refunds before any refund gets approved.

ContextGate의 Workspace Assistant(오른쪽 하단 로봇 아이콘)가 데이터베이스 설정을 요청하면 Approve를 클릭하세요.