AI 요약
OneCLI는 AI 에이전트가 외부 서비스 API를 호출할 때 발생할 수 있는 보안 리스크를 해결하기 위해 개발된 Rust 기반의 오픈소스 게이트웨이입니다. 기존 방식은 에이전트에 직접 API 키를 할당하여 유출 위험이 컸으나, OneCLI는 에이전트와 서비스 사이에 위치하여 자격 증명을 투명하게 주입합니다. 에이전트는 실제 키 대신 플레이스홀더(예: FAKE_KEY)를 사용하여 HTTP 요청을 보내고, Rust로 구축된 고속 게이트웨이가 이를 가로채 실제 키로 교체하여 전송하는 방식입니다. 이를 통해 개발자는 한 곳에서 모든 비밀번호(Secrets)를 관리하고 접근 권한을 제어할 수 있으며, 에이전트는 보안 민감 데이터에 직접 접근할 수 없게 됩니다.
핵심 인사이트
- 보안 암호화: 저장된 모든 자격 증명은 AES-256-GCM 방식으로 암호화되며, 요청이 발생하는 시점에만 메모리상에서 복호화되어 안전합니다.
- 이중 포트 구조: 관리 및 설정을 위한 Next.js 기반 대시보드는 10254 포트를, 실제 자격 증명 주입을 담당하는 Rust 게이트웨이는 10255 포트를 사용합니다.
- 독립적 실행 환경: 외부 데이터베이스 의존성 없이 PGlite(임베디드 PostgreSQL)를 사용하거나 사용자의 PostgreSQL을 연결하여 Docker 환경에서 즉시 실행 가능합니다.
- 다중 인증 모드: 개인 사용자를 위한 무로그인 모드와 팀 단위 협업을 위한 Google OAuth 인증 모드를 모두 지원하여 유연한 운영이 가능합니다.
주요 디테일
- 투명한 주입: 에이전트 입장에서는 일반적인 HTTP 호출을 수행하면 되며, 게이트웨이가
Proxy-Authorization헤더를 통해 인증을 처리합니다. - 호스트 및 경로 매칭: 특정 호스트나 경로 패턴에 따라 적절한 비밀번호를 매칭하여 주입하는 지능형 라우팅 기능을 제공합니다.
- Rust 기반 아키텍처: 메모리 안전성이 뛰어나고 빠른 성능을 보장하는 Rust 언어로 게이트웨이를 구축하여 HTTPS 요청 처리를 위한 MITM 인터셉션을 효율적으로 수행합니다.
- 현대적 기술 스택: 대시보드는 Next.js와 shadcn/ui를 사용하며, 데이터 모델링에는 Prisma ORM을 채택하여 유지보수성을 높였습니다.
- 로컬 퀵스타트:
docker run명령어를 통해 ghcr.io/onecli/onecli 이미지를 불러와 단일 컨테이너로 즉시 배포할 수 있는 간편한 설정 방식을 제공합니다.
향후 전망
- 보안 표준화: AI 에이전트의 자율성이 높아짐에 따라 API 키 유출 방지를 위한 OneCLI와 같은 보안 계층이 기업용 AI 인프라의 필수 요소가 될 것으로 보입니다.
- 커뮤니티 확장: 오픈소스 프로젝트로서 다양한 서드파티 서비스와의 사전 정의된 템플릿 제공 및 클라우드 네이티브 보안 솔루션과의 연동이 가속화될 전망입니다.
출처:hackernews