보안 에이전트 시스템을 위한 정책 컴파일러

Policy Compiler for Secure Agentic Systems

LLM 기반 에이전트는 점점 더 복잡한 권한 정책이 필요한 환경에서 활용되고 있습니다. 여기에는 고객 서비스 프로토콜, 승인 워크플로우, 데이터 접근 제한 및 규제 준수가 포함됩니다. 이러한 정책을 프롬프트에 포함하는 것만으로는 정책 준수를 보장할 수 없습니다. 본 논문에서는 PCAS(Policy Compiler for Agentic Systems)라는 정책 컴파일러를 소개합니다. PCAS는 결정적인 정책 강제 기능을 제공합니다. 이러한 정책을 시행하려면 에이전트 간의 정보 흐름을 추적해야 하는데, 이는 선형적인 메시지 기록으로는 파악하기 어렵습니다. PCAS는 에이전트 시스템의 상태를 의존성 그래프로 모델링하여 도구 호출, 도구 결과 및 메시지와 같은 이벤트 간의 인과 관계를 파악합니다. 정책은 Datalog에서 파생된 언어를 사용하여 표현되며, 이는 전이적 정보 흐름과 에이전트 간의 출처를 고려하는 선언적 규칙입니다. 참조 모니터는 모든 작업을 가로채어 실행 전에 위반을 차단하여 모델 추론에 의존하지 않는 결정적인 강제 기능을 제공합니다. PCAS는 기존 에이전트 구현과 정책 사양을 입력으로 받아 정책을 준수하는 시스템으로 컴파일합니다. 이 과정에서 보안 관련 구조 변경이 필요하지 않습니다. PCAS를 사용하여 프롬프트 주입 방어를 위한 정보 흐름 정책, 다중 에이전트 약물 감시 시스템의 승인 워크플로우 및 고객 서비스 조직 정책을 포함한 세 가지 사례 연구를 평가했습니다. 고객 서비스 작업에서 PCAS는 최첨단 모델에서 정책 준수율을 48%에서 93%로 향상시켰으며, 측정된 실행에서 정책 위반이 발생하지 않았습니다.

LLM-based agents are increasingly being deployed in contexts requiring complex authorization policies: customer service protocols, approval workflows, data access restrictions, and regulatory compliance. Embedding these policies in prompts provides no enforcement guarantees. We present PCAS, a Policy Compiler for Agentic Systems that provides deterministic policy enforcement. Enforcing such policies requires tracking information flow across agents, which linear message histories cannot capture. Instead, PCAS models the agentic system state as a dependency graph capturing causal relationships among events such as tool calls, tool results, and messages. Policies are expressed in a Datalog-derived language, as declarative rules that account for transitive information flow and cross-agent provenance. A reference monitor intercepts all actions and blocks violations before execution, providing deterministic enforcement independent of model reasoning. PCAS takes an existing agent implementation and a policy specification, and compiles them into an instrumented system that is policy-compliant by construction, with no security-specific restructuring required. We evaluate PCAS on three case studies: information flow policies for prompt injection defense, approval workflows in a multi-agent pharmacovigilance system, and organizational policies for customer service. On customer service tasks, PCAS improves policy compliance from 48% to 93% across frontier models, with zero policy violations in instrumented runs.