destructive_command_guard: AI 코딩 에이전트의 파괴적인 명령을 차단하는 고성능 안전 후크

destructive_command_guard: AI 코딩 에이전트의 파괴적인 명령을 차단하는 고성능 안전 후크

해결하는 문제

AI 코딩 에이전트(Claude Code, Cursor, GitHub Copilot 등)는 때때로 rm -rf ./src 또는 DROP TABLE users와 같이 커밋되지 않은 작업이나 운영 데이터를 몇 초 만에 파괴하는 치명적인 명령을 실행할 수 있습니다. dcg는 이러한 파괴적인 명령이 실행되기 전에 가로채는 안전 계층을 제공합니다.

작동 방식

AI 에이전트로부터 오는 명령을 가로채는 고성능 후크 역할을 합니다. SIMD 가속 필터링과 이중 정규식 엔진을 사용하여 heredocs 또는 인라인 스크립트(예: python -c "os.remove(...)")에 포함된 명령을 포함하여 명령을 스캔합니다. 이 도구는 실제 실행을 차단하면서도 안전한 데이터 작업(예: grep "rm -rf")을 차단하지 않도록 컨텍스트를 분류합니다. 타임아웃이나 파싱 오류가 사용자의 워크플로우를 차단하지 않도록 fail-open 방식으로 설계되었습니다.

대상 사용자

에이전트가 생성한 셸 명령으로 인한 우발적인 데이터 손실이나 시스템 파괴를 방지하고자 하는 AI 코딩 에이전트 사용자 개발자.

주요 특징

  • 광범위한 에이전트 지원: Claude Code, Codex CLI, Gemini CLI, Copilot, Cursor, Hermes Agent, Grok 등을 지원합니다.
  • 방대한 보안 팩: 데이터베이스(PostgreSQL, MongoDB), 클라우드 제공업체(AWS, GCP, Azure), 컨테이너(Docker, Kubernetes), 인프라(Terraform, Pulumi)를 아우르는 50개 이상의 모듈형 팩을 제공합니다.
  • 밀리초 미만의 지연 시간: 고성능 Rust 구현을 통해 가드(guard)가 에이전트의 응답 시간을 늦추지 않도록 보장합니다.
  • 스마트 컨텍스트 감지: 실행 중인 명령과 데이터로서 언급되는 명령을 구분합니다.
  • 유연한 우회: 환경 변수(DCG_BYPASS=1), 일회용 허용 코드, 영구 허용 목록을 포함하여 명령을 허용하는 다양한 방법을 제공합니다.
  • CI 통합: 코드 리뷰 중 위험한 명령을 포착하기 위해 pre-commit hooks 및 CI 파이프라인에서 사용할 수 있는 스캔 모드를 포함합니다.

Sources