AI 에이전트에게 데이터베이스 접근 권한을 주는 일은 늘 도박과 같다. 특정 데이터를 조회하라고 시켰지만, 프롬프트 인젝션 한 번에 테이블 전체를 삭제하는 'DROP TABLE' 명령을 실행할 수 있기 때문이다. 기존의 IAM이나 RBAC 같은 권한 체계는 에이전트가 '어디에' 접속할 수 있는지는 결정하지만, 접속 후 '무엇을' 하는지는 통제하지 못한다.
이런 공백을 메우기 위해 Claw Patrol이 에이전트 전용 보안 방화벽을 공개했다. 에이전트가 직접 자격 증명을 가지지 않게 하여 키 유출 가능성을 차단하고, 모든 아웃바운드 요청을 목적지 도달 전에 검사하는 레이어를 구축했다. 단순한 API 게이트웨이를 넘어 SQL 동사나 Kubernetes 리소스 단위로 액션을 제어하며, 접속 권한과 실행 제어를 분리해 프로덕션 시스템 조작의 안전성을 높였다.
SQL·k8s 트래픽을 파싱하는 와이어 레벨 게이팅
운영 환경의 데이터베이스 접근 권한을 에이전트에게 부여하면 보안 구멍이 생긴다. Postgres에 접속 권한이 있는 에이전트는 데이터를 조회하는 SELECT 문과 테이블을 삭제하는 DROP TABLE 문을 동일한 권한으로 실행하기 때문이다. 클로 패트롤(Claw Patrol)은 자격 증명을 에이전트가 볼 수 없는 외부 영역에 보관해 키 유출 경로를 차단하고, 실행되는 액션 자체를 검사하는 레이어를 추가했다.
룰 엔진이 목적지에 도달하기 전의 모든 아웃바운드 요청을 와이어 레벨에서 검사한다. HTTP 요청은 메서드와 경로, 헤더, 본문을 매칭하며 필요시 커스텀 프롬프트를 가진 LLM 판사로 라우팅해 콘텐츠의 적절성을 판단한다. SQL 트래픽은 Postgres와 ClickHouse의 동사 단위로 파싱해 pg_read_file이나 dblink_* 같은 파일시스템 접근 함수 호출을 막는다. Kubernetes 환경에서는 네임스페이스와 리소스, 동사, 이름을 매칭하고 kubectl exec의 argv(인자 값)를 검사해 ls나 ps 같은 조회 명령은 허용하되 환경 변수 덤프나 파드 토큰 접근 시도는 거부한다.
WireGuard나 Tailscale 연결 방식을 사용해 에이전트 코드를 수정하지 않고 게이트웨이를 구축한다. 사용자는 아래 명령어를 통해 게이트웨이에 가입하고 에이전트를 실행한다.
clawpatrol joinclawpatrol run codex지원 대상은 Postgres, ClickHouse, Kubernetes를 비롯해 AWS, GCP, GitHub, Slack, Vultr 등 주요 프로덕션 시스템을 포괄한다. 단일 바이너리로 동작하며 HCL(HashiCorp Configuration Language) 설정을 로드해 룰 엔진에 적용하고 대시보드에서 저장하면 즉시 핫 리로드된다. 모든 작업 내역은 감사 로그로 기록되며, 데모는 demo.clawpatrol.dev에서 요청 단위의 게이트웨이 캡처 내용을 확인할 수 있다. 이 도구는 MIT 라이선스 기반의 오픈소스로 GitHub(https://github.com/denoland/clawpatrol)에서 공개되어 있다.
LLM 판사와 사람의 승인을 결합한 4중 방어 체계
Claw Patrol은 요청의 합리성을 실시간으로 판단하는 라우팅 체계를 도입했다. `require_llm` 설정 시 claude-haiku-4-5 같은 커스텀 프롬프트 모델이 각 요청에 투표하며, 판정 결과는 캐싱되어 중복 과금을 방지한다. 판단이 모호한 요청은 `require_human`을 통해 Slack, 대시보드, 웹훅으로 전달되어 사람이 직접 승인해야만 실행된다.
정책 변경으로 인해 기존 기능이 차단되는 문제는 JSON fixture로 해결한다. 대시보드에서 실제 액션을 녹화해 파일로 저장하고, CI(지속적 통합) 환경에서 `clawpatrol test`를 실행해 정책 변경 전후의 판정 차이를 diff로 확인한다. 정책 변경으로 인해 기존의 허용 요청이 거부로 바뀌면 빌드가 실패하도록 설정해 배포 전 회귀 테스트를 강제한다.
기존 도구들과의 차별점은 통합 제어 능력에 있다. Helicone이나 Portkey는 LLM 호출만 감시하며, httpjail이나 proxyline 같은 툴 호출 감시 도구는 HTTP만 지원해 Postgres나 Kubernetes, SSH 경로를 통한 우회를 막지 못한다. NVIDIA OpenShell 같은 샌드박스는 접근 대상만 제한할 뿐 액션의 합리성은 판단하지 않으며, Agent Vault 같은 키 보관소는 시크릿 유출은 막지만 요청 내용은 그대로 통과시킨다. Claw Patrol은 프로토콜 레이어의 도구 호출 감시, 시크릿 보관, LLM 및 사람의 승인 라우팅, 전체 바이트 기록 기능을 하나로 통합했다.
설치는 아래 명령어로 수행한다.
curl -fsSL https://clawpatrol.dev/install.sh | shAI 에이전트가 단순 텍스트 생성을 넘어 데이터베이스에 직접 쿼리를 실행하는 단계로 진입하며, DROP TABLE과 같은 파괴적 명령어를 실시간으로 차단하는 물리적 장치가 필요해졌다. Claw Patrol은 LLM의 자율적 실행 권한과 시스템 안전 사이의 공백을 보완하는 보안 계층을 제공한다.
결국 AI 에이전트의 실무 투입 가능 여부는 모델의 성능이 아니라 제어 가능한 보안 방화벽의 유무로 결정된다.
