Google DeepMind가 에이전트 위임에 대해 올바르게 이해한 점 — 그리고 SatGate가 이미 구축한 것
Source: Dev.to
위에 제공된 소스 링크 외에 번역할 텍스트가 없습니다. 번역하고 싶은 본문을 알려주시면 한국어로 번역해 드리겠습니다.
개요
2026년 2월, Google DeepMind 팀은 Intelligent AI Delegation이라는 논문을 발표했습니다. 이 논문은 자율 에이전트가 작업을 안전하게 분해하고, 권한을 이전하며, 위임 체인 전반에 걸쳐 책임을 유지하는 방법에 대한 프레임워크를 제시합니다. 논문은 에이전트가 안전하게 위임하기 위해서는 macaroons과 같은 감쇠된 능력 토큰이 필요하다고 결론짓습니다.
SatGate는 같은 이유로 구축되었습니다. macaroons은 기계‑대‑기계 위임에 유일하게 작동하는 인증 원시 형태이며, 권한을 감쇠시키고, 조건을 담으며, 중앙 서버에 접속하지 않고도 암호학적으로 검증할 수 있습니다. DeepMind가 독립적으로 동일한 아키텍처에 도달했으니, 두 시스템을 비교해 볼 가치가 있습니다.
Delegation Capability Tokens (DCTs)
DeepMind는 macaroons를 기반으로 Delegation Capability Tokens (DCTs)를 제안합니다:
“위임자는 대상 리소스 자격 증명을 암호화된 조건(caveats)으로 감싸는 DCT를 발행합니다. 감쇠는 ‘이 토큰은 지정된 Google Drive MCP 서버에 접근할 수 있지만, 오직 Project_X 폴더에 대해서만, 그리고 오직 READ 작업에만 허용됩니다.’와 같이 정의될 수 있습니다.”
SatGate는 두 개의 1당사자 caveat를 가진 macaroons를 사용합니다—정확히 동일한 패턴.
Mapping Paper Requirements to SatGate
| Paper Requirement | SatGate Implementation |
|---|---|
| Attenuated tokens with cryptographic caveats for scoped authority | 모든 토큰은 마카롱입니다. 조건은 경로 제한, 예산 한도, 시간 창, 그리고 MCP 도구 범위를 강제합니다. 토큰은 satgate token mint 명령으로 발행되며 암호학적으로 검증됩니다—데이터베이스 조회가 필요하지 않습니다. |
| Sub‑agents receive strictly fewer permissions than their delegator | 위임 트리: 상위 토큰은 추가 조건을 가진 하위 토큰을 발행할 수 있지만 보유한 권한보다 더 많은 권한을 부여할 수 없습니다. 예산 할당은 하향식으로 흐릅니다(예: $100 상위 토큰이 $10짜리 하위 토큰 10개를 생성하고, 각각 특정 경로나 도구에 범위가 지정됨). |
| Explicit boundaries on what resources a delegated agent can consume | 요청 레이어에서 에이전트별 예산 상한을 적용합니다. 토큰이 사용 한도에 도달하면 게이트웨이는 HTTP 402를 반환하여 요청이 상위 서비스에 도달하는 것을 차단합니다. |
| Clear chain of responsibility with oversight mechanisms | 모든 요청은 전체 토큰 계보(상위 토큰, 조건, 사용량)와 함께 로그에 기록됩니다. 상위 토큰을 취소하면 즉시 모든 하위 토큰이 무효화됩니다. |
| Human‑in‑the‑loop intervention when risk exceeds tolerance | 강제 모드(Observe → Control → Charge)를 통해 운영자는 신뢰를 단계적으로 상승시킬 수 있습니다. 예산 알림은 한도에 도달하기 전에 트리거되며, 단일 API 호출로 전체 위임 트리에서 에이전트의 접근을 취소할 수 있습니다. |
왜 마카롱인가?
이 논문은 Birgisson et al. (2014)—원래 Google Research 마카롱 논문—을 인용하는데, 그 이유는 마카롱이 다음과 같은 장점을 제공하기 때문입니다:
- 조정 없이 감쇠 – 토큰 보유자는 발행자와 연락할 필요 없이 제한을 추가할 수 있습니다.
- 오프라인 검증 – 마카롱은 HMAC 체인으로 구성되어 있어 검증이 순수하게 암호학적으로 이루어지며, 데이터베이스 조회나 지연 비용이 없습니다.
- 조합 가능한 제약 – 케밋(caveat)을 쌓을 수 있어(경로, 예산, 시간, MCP 도구 범위 등) 권한을 점점 좁혀 나갈 수 있습니다.
- 일급 위임 – 하위 토큰을 발행하는 것은 단순히 케밋을 추가하는 것이며, 위임 계층 구조가 토큰 자체에 인코딩됩니다.
반면에 JWT, API 키 및 정적 OAuth 스코프는 보유자가 하위로 권한을 감소시킬 수 없습니다.
SatGate 구축에서 얻은 교훈
- 경제를 집행 계층으로 – DeepMind 프레임워크는 권한과 책임에 초점을 맞추지만 경제적 제어는 제외한다. 실제로는 무분별한 지출이 무단 접근보다 더 흔한 실패 원인이다.
- 툴 수준 비용 할당 – 논문에서는 MCP를 언급하지만 툴별 비용 추적에 대해서는 다루지 않는다. 에이전트는 세션 내에서 여러 MCP 툴을 호출할 수 있어 세밀한 비용 모니터링이 필요하다.
- 신뢰 그라디언트 vs. 이진 스위치 – SatGate의 세 단계 진행(Observe → Control → Charge)은 기업이 전체 재설계 없이도 점진적으로 신뢰를 구축할 수 있게 한다.
SatGate 구현
SatGate는 오픈 소스(Apache 2.0)입니다. 게이트웨이는 사이드카 또는 독립 프록시로 실행되며 서브밀리초 수준의 오버헤드를 가집니다.
- GitHub:
DeepMind 위임 프레임워크가 필요로 하는 아키텍처와 일치한다면, SatGate는 바로 사용할 수 있는 구현을 제공합니다.
References
- Tomasev, N. et al. (2026). Intelligent AI Delegation. arXiv:2602.11865. Google DeepMind.
- Birgisson, A. et al. (2014). Macaroons: Cookies with Contextual Caveats for Decentralized Authorization in the Cloud. NDSS 2014.