Copilot 클라우드 에이전트의 보안, 위험 및 제한 사항

  • 5분

GitHub Copilot 클라우드 에이전트는 처음부터 보안 및 거버넌스를 염두에 두고 설계되었습니다. 자율 에이전트에 작업을 위임하는 새로운 방법을 잠금 해제하지만 조직의 기존 가드레일 내에서 작동하고 자체 보호를 추가합니다. 이 단원에서는 에이전트가 보안 정책을 적용하는 방법을 설명하고, 알아야 할 위험 및 완화 방법을 강조 표시하며, 현재 제한 사항에 대한 기대치를 설정합니다.

이 단원을 마치면 다음을 수행할 수 있습니다.

  • Copilot 클라우드 에이전트의 보안 모델 및 기본 제공 보호에 대해 설명합니다.
  • 에이전트 사용과 관련된 주요 위험 및 GitHub가 적용되는 완화를 식별합니다.
  • 에이전트 워크플로의 알려진 제한 사항과 호환성을 인식하여 사용 계획을 세우십시오.

보안 모델 및 기본 제공 보호

보안은 Copilot 클라우드 에이전트의 기본입니다. 기존 컨트롤을 존중하고 워크플로를 안전하게 유지하기 위해 자체 가드레일을 적용합니다.

  • 거버넌스 적용 - 조직 및 엔터프라이즈 설정은 가용성을 제어합니다. 모든 보안 정책이 에이전트에 계속 적용됩니다.
  • 제한된 환경 - 에이전트는 방화벽 인터넷 액세스 및 리포지토리에 대한 읽기 전용 액세스를 사용하여 GitHub Actions의 샌드박스 내에서 실행됩니다.
  • 분기 제한 - 부조종사/로 시작하는 분기만 만들고 푸시할 수 있으며 모든 분기 보호 및 필수 검사가 계속 적용됩니다.
  • 사용 권한 인식 - 에이전트는 쓰기 권한이 있는 사용자에게만 응답합니다. 다른 사용자의 주석은 무시됩니다.
  • 외부 협력자 규칙 - 에이전트의 초안 PR은 작업을 실행하기 전에 쓰기 권한이 있는 사용자의 승인이 필요합니다. PR을 요청한 사람은 승인할 수 없습니다.
  • 준수 및 특성 - 모든 커밋은 작업을 할당하거나 PR을 요청한 개발자와 공동 작성되므로 특성이 명확합니다. 기존 "필수 승인" 규칙은 그대로 유지됩니다.

위험 및 완화

Copilot 클라우드 에이전트는 보안을 염두에 두고 구축되었지만 계획해야 할 위험이 여전히 있습니다. GitHub는 완화를 적용하여 이를 줄입니다.

  • 위험: 에이전트가 코드를 푸시합니다.

    완화: 쓰기 액세스 권한이 있는 사용자만 에이전트 작업을 트리거할 수 있습니다. 푸시는 copilot/ 브랜치로 제한되며, 메인/마스터 브랜치에는 푸시할 수 없습니다. 에이전트의 자격 증명은 간단한 푸시만 허용합니다(직접 git push없음). 쓰기 권한 사용자가 "승인 및 워크플로 실행"을 클릭할 때까지 GitHub Actions 워크플로가 실행되지 않습니다. 요청자는 에이전트의 PR을 승인할 수 없어서 필요한 승인을 유지할 수 없습니다.

  • 위험: 중요한 정보에 대한 액세스

    완화: 에이전트의 인터넷 액세스는 기본적으로 방화벽으로 제한됩니다. 정책별로 방화벽을 사용자 지정하거나 사용하지 않도록 설정할 수 있습니다.

  • 위험: 프롬프트 주입

    완화: 사용자 입력을 에이전트에 전달하기 전에 숨겨진 문자(예: HTML 주석)가 필터링됩니다. 이렇게 하면 메모 또는 문제에 숨겨진 유해한 명령이 발생할 가능성이 줄어듭니다.

이러한 컨트롤은 에이전트를 사용하기 위한 보안 기준을 제공하지만 팀 구성원이 작성한 코드와 마찬가지로 출력을 신중하게 검토해야 합니다.

알려진 제한 사항

워크플로 제한 사항

  • 할당된 문제 또는 PR과 동일한 리포지토리에서만 변경할 수 있습니다.
  • 컨텍스트 범위는 기본적으로 할당된 리포지토리로 제한됩니다(MCP를 통해 확장할 수 있음).
  • 작업당 정확히 하나의 끌어오기 요청을 엽니다.
  • 만들지 않은 기존 PR을 수정할 수 없습니다( GitHub Copilot 코드 검토를 활용하여 피드백이 필요한 경우 검토자로 추가).

호환성 제한 사항

  • 커밋에 서명하지 않습니다. 서명된 커밋이 필요한 경우 병합하기 전에 커밋 기록을 다시 작성해야 합니다.
  • GitHub 호스팅 Ubuntu x64 실행기가 필요합니다. 자체 호스팅 실행기는 지원되지 않습니다.
  • 관리되는 사용자 계정이 소유한 개인 리포지토리에서는 사용할 수 없습니다(실행기를 사용할 수 없음).
  • 콘텐츠 제외를 적용하지 않습니다. 에이전트는 제외된 파일을 보고 업데이트할 수 있습니다.
  • "공개 코드와 일치하는 제안" 정책은 에이전트에 의해 적용되지 않습니다. 참조가 제공되지 않을 수 있습니다.
  • GitHub 호스팅 리포지토리에서만 작동합니다.
  • 에이전트에서 사용하는 AI 모델은 변경할 수 없습니다. GitHub에서 선택합니다.

가드레일과 경계가 명확해지면 작업 위임을 시작하고, 진행 상황을 따르고, 표준 PR 워크플로를 사용하여 결과를 반복할 준비가 된 것입니다.