배경 및 맥락
기업용 research agent는 내부 문서, CRM, ticket, wiki, email 같은 private corpus와 외부 web search를 함께 사용한다. 이 구조는 사람이 하던 research workflow를 자동화하기에 강력하지만, private context가 tool call 경계 밖으로 새어 나갈 수 있다. 기존 보안 논의는 주로 tool permission, OAuth, audit log, prompt injection에 집중했지만, MosaicLeaks는 더 미묘한 leakage channel을 다룬다.
핵심 문제는 검색 쿼리 자체다. 에이전트는 정확한 외부 문서를 찾기 위해 내부 문서에서 읽은 metric, 날짜, 회사명, 프로젝트명을 web query에 섞어 넣을 수 있다. 개별 쿼리는 평범해 보여도 누적 query log를 보면 내부 사실을 재구성할 수 있다.
핵심 내용
ServiceNow와 Hugging Face는 MosaicLeaks라는 benchmark를 공개했다. 이 benchmark는 1,001개 multi-hop research chain으로 구성되며, local enterprise documents와 controlled web corpus를 번갈아 사용한다. 모델은 private document에서 얻은 답을 다음 web search의 bridge entity로 활용해야 하므로, 성능을 높이려 할수록 private fragment를 외부 쿼리에 실을 유인이 생긴다.
논문/글은 leakage를 intent leakage, answer leakage, full-information leakage로 나눠 측정한다. 단순 privacy prompt는 일부 leakage를 줄였지만 Qwen3-4B 기준 strict chain success를 48.7%에서 44.5%로 떨어뜨렸다. 반면 Privacy-Aware Deep Research(PA-DR)는 situational task reward와 learned privacy reward를 결합해 strict chain success를 58.7%까지 올리고 answer/full-information leakage를 9.9%로 낮췄다.
경쟁 구도 / 비교
Arcade 같은 agent authorization layer는 agent가 어떤 action을 수행해도 되는지 통제한다. MosaicLeaks는 action 이전의 information flow, 특히 read와 search planning 단계에서 정보가 어떻게 새는지를 다룬다. 둘은 보완 관계이며, production agent governance에는 permission뿐 아니라 query construction과 retrieval policy가 필요하다.
기존 DLP나 proxy 기반 통제는 명시적인 secret pattern을 막는 데 유용하지만, mosaic leakage는 특정 한 줄의 secret이 아니라 여러 query fragment의 조합으로 생긴다. 따라서 static redaction만으로는 부족하고, agent planning 단계에서 private fact가 외부 search에 필요한지 판단하는 reward와 policy가 필요하다.
의미
산업적으로 deep research agent는 enterprise productivity의 핵심 use case지만, 내부 지식과 외부 검색을 섞는 순간 새로운 privacy boundary가 생긴다. 모델이 더 유능해질수록 더 풍부한 query를 만들고, 그 풍부함이 곧 leakage risk가 될 수 있다는 점이 중요하다.
실무적으로 보안팀과 AI platform 팀은 outbound web query를 audit 대상에 포함해야 한다. agent product requirement에는 source tagging, private-context minimization, query redaction, per-hop logging, privacy-aware evaluation, 그리고 performance와 leakage를 동시에 보는 benchmark가 들어가야 한다.