Do Coding Agents Understand Least-Privilege Authorization?
์์ฑ์
- Haebom
์นดํ
๊ณ ๋ฆฌ
Empty
์ ์
Zheng Yan, Jingxiang Weng, Charles Chen, Dengyun Peng, Ethan Qin, Jiannan Guan, Jinhao Liu, Qiming Yu, Yixin Yuan, Fanqing Meng, Carl Che, Mengkang Hu
๐ก ๊ฐ์
์ฝ๋ฉ ์์ด์ ํธ์ ์์ ํ ๋ฐฐํฌ๋ฅผ ์ํด ์ต์ ๊ถํ ๋ถ์ฌ๋ ํ์์ ์ด์ง๋ง, ํ์ฌ ์ฝ๋ฉ ์์ด์ ํธ๋ ์์
์ง์นจ๊ณผ ํฐ๋ฏธ๋ ํ๊ฒฝ์ ๋ฐํ์ผ๋ก ํ์ผ ์์ค์ ์ฝ๊ธฐ/์ฐ๊ธฐ/์คํ ์ ์ฑ
์ ์ถ๋ก ํ๋ ๋ฐ ์ด๋ ค์์ ๊ฒช๊ณ ์์ต๋๋ค. ์ ์๋ค์ ์ด๋ฌํ ๋ฌธ์ ๋ฅผ ํด๊ฒฐํ๊ธฐ ์ํด "๊ถํ ๊ฒฝ๊ณ ์ถ๋ก " ๋ฐฉ๋ฒ์ ์ ์ํ๊ณ , 120๊ฐ์ ํ์ค์ ์ธ ํฐ๋ฏธ๋ ์์
์ ํฌํจํ๋ "AuthBench"๋ผ๋ ๋ฒค์น๋งํฌ๋ฅผ ๊ฐ๋ฐํ์ต๋๋ค. AuthBench์ ๊ฒฐ๊ณผ, ์ต์ ๋ชจ๋ธ๋ค์ ํ์ํ ๊ถํ์ ๋๋ฝํ๊ฑฐ๋ ๋ถํ์ํ๊ณ ๋ฏผ๊ฐํ ์ ๊ทผ ๊ถํ์ ๋ถ์ฌํ๋ ๊ฒฝํฅ์ ๋ณด์์ผ๋ฉฐ, ์ถ๋ก ์๊ฐ ์ฆ๊ฐ๋ ์ด ๋ฌธ์ ๋ฅผ ํด๊ฒฐํ์ง ๋ชปํ์ต๋๋ค.
๐ ์์ฌ์ ๋ฐ ํ๊ณ
โข
์ฝ๋ฉ ์์ด์ ํธ๊ฐ ์ต์ ๊ถํ ๋ถ์ฌ ์ ์ฑ
์ ์ค์ค๋ก ์ถ๋ก ํ๋ ๋ฅ๋ ฅ์ ์์ง ๋ถ์กฑํ๋ฉฐ, ๋จ์ํ ๋ณด์์ /ํ์ฉ์ ์ ์ฑ
์ค์ ๋ฌธ์ ๊ฐ ์๋๋๋ค.
โข
๊ธฐ์กด ๋ชจ๋ธ๋ค์ ์์
์คํ์ ํ์ํ ๊ถํ๊ณผ ๋ถํ์ํ๊ฑฐ๋ ๋ฏผ๊ฐํ ๊ถํ์ ๋์์ ๋ถ์ฌํ๋ ์ด์ค์ ์ธ ์คํจ ๋ชจ๋๋ฅผ ๋ณด์ด๋ฉฐ, ์ถ๋ก ๋ฅ๋ ฅ ํฅ์๋ง์ผ๋ก๋ ํด๊ฒฐ๋์ง ์์ต๋๋ค.
โข
์ ์๋ "Sufficiency-Tightness Decomposition" ๋ฐฉ๋ฒ๋ก ์ ์์
์คํ์ ์๋ฐฉํฅ ์๋ฎฌ๋ ์ด์
ํ์ฌ ํ์ํ ๊ถํ์ ๋จผ์ ํ๋ณดํ๊ณ , ์ดํ ๊ฐ ๊ถํ์ ๊ทผ๊ฑฐ์ ๋ฏผ๊ฐ๋๋ฅผ ๊ฐ์ฌํ๋ ๋ฐฉ์์ผ๋ก ๋ฏผ๊ฐ ์์
์ฑ๊ณต๋ฅ ์ ์ต๋ 15.8% ํฅ์์ํค๊ณ ๊ณต๊ฒฉ ์ฑ๊ณต๋ฅ ์ ๊ฐ์์ํค๋ ํจ๊ณผ๋ฅผ ๋ณด์์ต๋๋ค.
โข
์ง์ ์ ์ธ ์ ์ฑ
์์ฑ ๋ฐฉ์์ด ํ์์ ์ ๊ทผ ๊ถํ ๋ฐ๊ฒฌ๊ณผ ๋ถํ์ํ ๊ถํ ๊ฑฐ๋ถ๋ฅผ ๋์์ ์ํํด์ผ ํ๋ฏ๋ก ๋ณ๋ชฉ ํ์์ ์ผ๊ธฐํฉ๋๋ค.
