- 들어가며 — 답부터: 지금 이 에이전트들은 무엇을 할 수 있나
- OSWorld와 WebArena는 실제로 무엇을 재는가
- 왜 같은 모델이 같은 벤치마크에서 다른 점수를 받나
- OSWorld 점수의 절반은 GUI 능력이 아니다
- 벤치마크는 왜 계속 수리되는가
- "83.5%"와 "20.6%"는 왜 같은 해에 공존하나
- 데모와 프로덕션 사이, 실제로 무너지는 곳
- 보안 — 여기서 인젝션은 텍스트가 아니라 행동이 된다
- 방어는 무엇으로 하는가 — 구조로
- 그래서, 지금 도입해야 하나
- 마치며
- 참고 자료
들어가며 — 답부터: 지금 이 에이전트들은 무엇을 할 수 있나
한 문장으로 답하면 이렇습니다. 짧고 자족적인 작업은 대체로 하고, 길고 연결된 실제 업무는 대체로 못 합니다.
이 두 문장이 동시에 참이라는 게 2026년 컴퓨터 유즈 에이전트의 정확한 좌표입니다. 숫자로 보면 더 분명합니다. OSWorld 2.0 논문(arXiv:2606.29537, 2026년 6월 26일)은 도입부에서 이렇게 적습니다 — Claude Opus 4.8이 OSWorld-Verified에서 83.5%에 도달했고, 이는 "데스크톱 컴퓨터 유즈가 대체로 풀렸다"고 시사한다고. 그리고 같은 논문의 결과 표에서, 같은 Claude Opus 4.8이 OSWorld 2.0의 과제 중 20.6%만 완료합니다.
같은 모델, 같은 달, 같은 연구실. 63퍼센트포인트 차이. 이 글은 그 차이가 어디서 오는지에 대한 글입니다.
결론부터 미리 말하면, 저 간극은 모델이 갑자기 나빠져서 생긴 게 아닙니다. 벤치마크가 무엇을 재기로 했는지가 다릅니다. 그래서 "에이전트가 몇 퍼센트나 하나요"라는 질문에는 조건 없이 답할 수 없고, 조건을 빼고 인용된 숫자는 거의 항상 실제보다 낙관적입니다. 아래에서는 그 조건들을 하나씩 열어 봅니다.
이 글은 브라우저·컴퓨터 조작 에이전트의 아키텍처와 도입 체크리스트를 다루지 않습니다. 그건 브라우저·컴퓨터 유즈 에이전트 실전 가이드에 따로 정리해 뒀습니다. 여기서는 오직 세 가지만 봅니다 — 공개된 벤치마크가 실제로 재는 것, 데모와 프로덕션 사이의 간극, 그리고 보안 모델.
OSWorld와 WebArena는 실제로 무엇을 재는가
먼저 이 분야의 두 기준점이 무엇인지부터 정확히 해 둡시다.
OSWorld(arXiv:2404.07972, NeurIPS 2024)는 진짜 운영체제 위에서 도는 환경입니다. 초록의 숫자를 그대로 옮기면 — 369개의 컴퓨터 과제, 실제 웹·데스크톱 앱, OS 파일 I/O, 여러 앱에 걸친 워크플로. 그리고 당시 결과가 이랬습니다. 사람은 과제의 72.36% 이상을 해내는데, 최고 모델은 12.24%. 논문은 실패 원인을 "GUI 그라운딩과 조작 지식"으로 짚었습니다.
WebArena(arXiv:2307.13854)는 웹 쪽입니다. 논문 PDF에서 확인한 숫자로 812개의 테스트 예제(241개 템플릿에서 인스턴스화), 네 개 도메인 — 전자상거래, 소셜 포럼, 협업 소프트웨어 개발, 콘텐츠 관리. 결과는 GPT-4 기반 최고 에이전트가 엔드투엔드 성공률 14.41%, 사람은 78.24%였습니다.
여기서 이미 중요한 게 하나 보입니다. 두 벤치마크 모두 사람 기준선이 100%가 아닙니다. 72.36%와 78.24%. 사람도 이 과제들의 4분의 1 남짓을 실패합니다. 이건 사람이 컴퓨터를 못 써서가 아니라, 과제 지시문이 애매하거나 과제 자체가 깨져 있기 때문입니다. 이 사실은 뒤에서 다시 나옵니다.
세 번째로 WebVoyager(arXiv:2401.13919)를 짚어야 하는데, 이유가 좀 다릅니다. WebVoyager는 실제 웹사이트 15곳에서 59.1%의 과제 성공률을 보고했습니다. 그런데 같은 초록에 이런 문장이 있습니다 — 자동 평가 프로토콜이 GPT-4V를 쓰고, 사람 판정과 85.3% 일치한다고. 즉 자 자체가 모델입니다. 그리고 약 15%는 사람과 다르게 판정합니다. 59.1%라는 숫자를 인용할 때, 그 숫자를 매긴 채점자가 6번에 1번꼴로 사람과 의견이 갈린다는 사실도 같이 인용해야 정직합니다.
이건 WebVoyager만의 문제가 아닙니다. OSWorld 2.0도 "모델 기반 평가와 사람 개입 사용자 시뮬레이터 둘 다 Claude Sonnet 4.6을 쓴다"고 명시합니다. 모델을 재는 자가 모델인 구조는 지금 이 분야의 표준에 가깝습니다.
왜 같은 모델이 같은 벤치마크에서 다른 점수를 받나
이게 실무자에게 가장 중요한 부분입니다. 답은 스캐폴드입니다.
OSWorld를 만든 XLANG Lab은 2025년 7월 28일 OSWorld-Verified를 내면서 주요 모델을 직접 재측정했습니다(저자 자체 측정). 그 결과 중 한 줄이 이 절 전체를 요약합니다.
o3의 성능은 스텝 예산에 따라 극적으로 달라진다 (9.1%에서 23.0%까지).
같은 모델. 같은 벤치마크. 같은 과제. 스텝 예산 하나만 바꿨는데 2.5배. 만약 누군가 "o3는 OSWorld에서 23%"라고 인용하고 다른 누군가 "9%"라고 인용하면, 둘 다 거짓말을 하지 않은 겁니다.
같은 재측정의 나머지 그림도 같은 이야기를 합니다(모두 XLANG 자체 측정, OSWorld-Verified 기준).
에이전틱 프레임워크 45~61% <- CoACT-1 60.76%, Agent S2.5 w/ o3 56.0%, GTA1 w/ o3 53.1%
범용 파운데이션 모델 35~44% <- Claude 4 Sonnet 43.9%
컴퓨터 유즈 특화 모델 25~40% <- UI-TARS 40.0%
사람 ~72%
여기서 상위권은 전부 모델이 아니라 프레임워크입니다. CoACT-1의 60.76%는 "CoACT-1이라는 모델"의 점수가 아니라, o3 같은 추론 모델 위에 오케스트레이션 레이어를 얹은 시스템의 점수입니다. XLANG 자신이 이렇게 씁니다 — 정교한 오케스트레이션 레이어가 추론 모델의 능력을 극적으로 증폭시킬 수 있고, 그 모델이 컴퓨터 유즈용으로 학습되지 않았어도 그렇다고.
그래서 벤더나 논문이 성공률을 말할 때 최소한 이 네 가지가 같이 없으면 그 숫자는 비교 불가능합니다.
- 스텝 예산 (o3: 9.1% → 23.0%)
- 스캐폴드 (맨 모델인가, 에이전틱 프레임워크인가, 코드 실행 도구가 붙어 있나)
- 시도 횟수 (1회인가, best-of-N인가)
- 부분집합 (369개 전부인가, 일부인가, 어느 버전인가)
OSWorld 2.0 논문은 이 조건들을 모범적으로 다 적어 뒀습니다. 스텝 예산 500, 스크린샷 관측, Claude 계열은 네이티브 컴퓨터 유즈 도구를 쓰고 나머지는 pyautogui 코드를 뱉음, 출력 16K 토큰 제한(MiniMax M3만 8K), 각 액션 뒤 3초 대기, 배치 툴 콜 여부에 따라 두 가지 설정, 추론 강도는 Claude가 max이고 GPT-5.5가 xhigh. 인프라까지 — AWS us-east-1의 t3.2xlarge, 그리고 모든 웹 트래픽은 레지덴셜 프록시 경유.
마지막 줄이 특히 의미심장합니다. 레지덴셜 프록시를 안 쓰면 웹사이트가 에이전트를 차단해서 점수가 달라집니다. 벤치마크 점수의 일부는 봇 차단을 우회하는 인프라가 만듭니다.
OSWorld 점수의 절반은 GUI 능력이 아니다
Epoch AI가 2025년 10월 30일에 낸 OSWorld 리뷰는 이 분야에서 가장 불편하고 가장 유용한 문서입니다. 벤더도 벤치마크 저자도 아닌 제3자의 분석이라 더 그렇습니다.
핵심 발견을 옮기면 이렇습니다.
- 과제의 약 15%는 터미널만으로 완료 가능합니다.
- 추가로 약 30%는 의도된 GUI 조작의 상당 부분을 터미널과 파이썬 스크립트로 대체할 수 있습니다.
- 합치면 — Epoch의 표현대로 "OSWorld 과제의 거의 절반이 GUI 상호작용을 거의 또는 전혀 요구하지 않습니다."
그리고 이게 점수에 실제로 반영됩니다. Epoch는 공식 리더보드를 보면 코드 실행 도구가 있는 모델이 GUI 전용 에이전트보다 상당히 높은 점수를 받는다고 적었습니다. 심지어 스캐폴드에 코드 실행 도구가 없는 모델조차 스스로 패키지를 내려받는 사례를 관측했습니다 — Claude Sonnet 4가 문서에서 연락처를 뽑아 표로 만드는 과제에서 openpyxl과 pandas를 설치하는 스크린샷이 리뷰에 실려 있습니다.
OSWorld는 중간 단계를 채점하지 않습니다. 최종 상태만 봅니다. 그래서 스프레드시트를 사람처럼 클릭해서 채우든, 파이썬으로 openpyxl을 불러서 채우든 똑같이 정답입니다. 이건 버그가 아니라 설계지만, 해석에는 반드시 반영돼야 합니다. "컴퓨터 유즈"라는 말에서 떠오르는 그림(GUI를 클릭하는 에이전트)과 점수가 실제로 재는 것이 다릅니다.
Epoch가 짚은 나머지도 그대로 옮길 가치가 있습니다.
- 과제의 약 8%는 애초에 불가능하게 설계돼 있습니다. 에이전트는 "이건 불가능합니다"라고 답해야 정답입니다.
- 과제의 약 10%는 심각한 오류가 있어 무효입니다. (Epoch는 이게 "AI 벤치마크치고 이례적인 오류율은 아니다"라고 덧붙입니다.)
- 과제의 약 10%는 인터넷 라이브 데이터에 의존해서, 시간이 지나면 난이도나 실행 가능성 자체가 변합니다.
- 대부분의 과제는 원자적 액션 10개 미만입니다. 20스텝을 넘는 건 약 12%, 50스텝을 넘는 건 5%뿐입니다.
- 지시문이 애매한 과제가 많아서, 점수의 일부는 컴퓨터 조작 능력이 아니라 의도 추측 능력을 잽니다.
마지막 항목에 대해 Epoch는 재미있는 상한을 계산합니다. 원 논문의 사람 기준선이 72%니까, 애매함이 영향을 주는 과제는 많아야 28%라는 것. 사람이 실패한 28%가 곧 애매함의 상한선입니다.
Epoch의 결론은 이렇습니다 — OSWorld에서 보고된 점수 차이를 해석하기는 어렵다. 차이는 GUI 기반 컴퓨터 유즈 능력에서 올 수도 있지만, 벤치마크 데이터의 변경, 터미널·파이썬 능력, 또는 애매한 지시문 해석 능력에서 올 수도 있다.
벤치마크는 왜 계속 수리되는가
여기가 이 분야의 조용한 스캔들입니다. 벤치마크가 고정돼 있지 않습니다.
XLANG Lab은 OSWorld-Verified 발표문에서 스스로 밝힙니다. 최초 공개 전에 4라운드 검수로 400시간 이상을 썼고, 이후에도 수백 시간을 유지보수에 넣었는데도, 여러 기관이 지적한 이슈가 약 300건 쌓였다고. 그래서 10명 규모 팀이 약 2개월을 들여 300건 넘는 피드백을 고쳤습니다. 피드백을 준 곳은 MoonShot AI, OpenAI, ByteDance Seed TARS, Anthropic, Simular, HKU 등입니다.
무엇이 깨져 있었는지가 재밌습니다.
- 쇼핑·검색 사이트의 봇 차단과 CAPTCHA. Budget.com이 어느 시점부터 CAPTCHA를 도입.
- 403 IP 차단 (Steam 연결 타임아웃, NBA.com 지역 제한).
- speedtest.net의 CSV 내보내기 기능이 사라져서 과제 자체가 사실상 바뀜.
- "보라색 배경"처럼 여러 해석이 가능한 지시문. 연한 보라? 진한 보라?
- 정답이 여러 개인데 하나만 정답 처리하던 채점기. 두 CSV를 붙일 때 헤더 행을 어떻게 다루라는 지시가 없었던 과제.
- 모델이 확장 기능으로 창의적으로 풀었는데, 저자들이 그 방법을 생각 못 해서 "불가능" 과제로 표시해 뒀던 경우.
그리고 수리 방향이 결정적입니다. XLANG이 나열한 개선은 거의 전부 채점기를 느슨하게 만드는 쪽입니다 — 문서 비교에 퍼지 매칭과 0~1 점수 도입(이진 대신), 이미지 비교에 지각적 해싱으로 사소한 시각 차이 무시, 색상 허용 범위, 통화 필드의 $ 기호 같은 무의미한 서식 차이 무시, 기능적으로 동등한 수식 인정.
즉 같은 에이전트가 같은 행동을 해도 2025년 7월 이후에 더 높은 점수를 받습니다. Epoch가 이 지점을 정확히 찌릅니다 — 2025년 7월의 대규모 릴리스가 대부분의 과제 지시문을 바꿨고, 그 이후로도 약 10%의 지시문이 또 바뀌었다. 그리고 이렇게 씁니다. 오류 수정 노력은 칭찬할 만하지만, 라이브 벤치마크가 아닌 벤치마크에서 이건 매우 이례적인 관행이고 시간에 걸친 비교의 의미를 떨어뜨린다고.
과제 수조차 안 맞습니다. 원 논문은 369개라고 하고, Epoch는 361개라고 셉니다.
XLANG 자신이 남긴 교훈 한 줄이 이 절의 요약입니다.
신뢰할 수 있는 보상을 제공하는 일은 우리가 상상한 것보다 더 많은 인적 자원을 소모한다.
그리고 분산 평가의 구조적 문제도 스스로 지적합니다 — 문제를 발견해도 대부분 피드백할 동기가 없고, 그 결과 모두가 각자의 환경을 갖거나 심지어 점수를 높이려고 과제를 수정하게 되며, 점수는 점점 불투명하고 비교 불가능해진다고.
"83.5%"와 "20.6%"는 왜 같은 해에 공존하나
이제 도입부의 수수께끼로 돌아갑니다.
XLANG은 2026년 6월 26일 OSWorld 2.0을 냈습니다. 만든 이유를 논문이 직접 적습니다 — Opus 4.8이 OSWorld-Verified에서 83.5%를 찍으니 데스크톱 컴퓨터 유즈가 풀린 것처럼 보이지만, 그 숫자 뒤의 과제들은 짧고 좁으며, 한두 개 앱을 넘는 경우가 드물고, 길게 연결된 워크플로를 지속하기보다 자족적인 액션을 완료하는 데 보상을 준다고. 그래서 높은 정확도가 실제 진전을 과장한다고.
OSWorld 2.0이 무엇을 바꿨는지가 핵심입니다.
- 과제 108개. 각각이 숙련된 사람 기준 중앙값 약 1.6시간의 실제 조작. OSWorld 1.0보다 약 48배 깁니다.
- 선도 에이전트가 과제당 평균 300스텝 이상. OSWorld 1.0은 약 30이었습니다.
- 이메일·뱅킹·팀 채팅 등 31개의 웹 서비스를 자체 호스팅해서 상태를 통제하고 채점 가능하게 만듦.
- 각 과제는 일관된 상태를 가진 사용자 프로필에서 출발하고, 작업 중간에 메시지를 주입해 환경이 에이전트 밑에서 변하게 만듦.
- 지식이 제한된 시뮬레이션 사용자를 노출 — 에이전트가 물어볼 수 있음.
- 최종 상태를 과제당 평균 27.25개의 세밀한 체크포인트로 채점.
결과(500스텝, 108개 과제 평균, 저자 자체 측정):
설정 모델 이진 완료 부분 점수 과제당 비용 툴 콜/과제 출력토큰/과제
배치 액션 Claude Opus 4.8 20.6% 54.8% ~$72.4 481.8 224K
배치 액션 Claude Opus 4.7 18.2% 48.91% ~$33.6 597.1 150K
배치 액션 GPT-5.5 13.0% 49.5% ~$25.5 149.8 37.1K
단일 액션 Claude Opus 4.8 18.5% 49.3% ~$76.1 190.5 259.5K
단일 액션 Claude Sonnet 4.6 8.3% 41.5% ~$22.3 253.3 185.9K
단일 액션 MiniMax M3 4.6% 22.3% ~$2.4 326.7 70.8K
단일 액션 Kimi 2.6 4.6% 22.1% ~$6.6 179.3 63.0K
단일 액션 Qwen 3.7-Plus 2.8% 21.5% ~$3.8 173.5 28.9K
논문의 문장을 그대로 옮기면 — 같은 프런티어 에이전트들이 OSWorld 1.0에서는 79~83% 이진 정확도로 포화 상태인데, OSWorld 2.0에서는 한 자릿수 배 낮은 곳에 앉아 있다.
표에서 세 가지를 같이 읽어야 합니다.
첫째, 배치 툴 콜이라는 스캐폴드 하나가 Opus 4.8을 18.5%에서 20.6%로 올립니다. 앞 절의 스캐폴드 이야기가 최신 논문에서 그대로 반복됩니다. 같은 모델, 같은 500스텝, 툴 콜을 묶느냐 마느냐로 2.1퍼센트포인트.
둘째, 부분 점수와 이진 완료의 간극이 거대합니다. Opus 4.8은 부분 점수 54.8%인데 완주는 20.6%입니다. 논문의 표현으로는, 완료율이 가장 긴 워크플로에서 0에 가깝게 붕괴하는데도 부분 점수는 높게 유지됩니다. 이게 데모가 잘 되는 이유이자 프로덕션이 안 되는 이유입니다. 데모는 부분 점수를 보여 주고, 프로덕션은 이진 완료를 요구합니다.
셋째, 과제당 약 72달러입니다. 20.6%의 성공률로 과제 하나에 72달러. 사람이 1.6시간 걸리는 일이니 인건비와 비교하면 무의미한 금액은 아닙니다 — 다만 5번 중 4번은 돈만 쓰고 완주를 못 합니다. GPT-5.5는 훨씬 저렴하고(약 25달러, 출력 토큰은 5분의 1 미만) 토큰 효율이 압도적이지만 13% 근처에서 정체합니다. 논문은 이를 "가장 높은 점수를 받는 에이전트가 가장 효율적인 경우는 드물다"는 더 넓은 발견과 연결합니다.
데모와 프로덕션 사이, 실제로 무너지는 곳
OSWorld 2.0에서 가장 값진 부분은 점수가 아니라 실패 원인 분석입니다. 논문이 명시적으로 적습니다.
이 실패들은 기본적인 GUI 조작이나 코딩에 관한 것이 아니다.
에이전트는 로컬 액션은 잘 실행합니다. 못 하는 건 긴 호흡 동안 과제 수준의 모델을 머릿속에 유지하는 것입니다. 논문이 나열한 네 가지가 정확히 프로덕션에서 터지는 것들입니다.
- 명시된 제약을 떨어뜨린다. 초반에 말한 조건을 200스텝 뒤에 잊습니다.
- 작업 중간에 도착한 정보를 놓친다. OSWorld 2.0이 일부러 중간에 메시지를 주입하는 이유입니다. 실제 업무는 시작할 때 요구사항이 확정되지 않습니다.
- 사용자에게 묻는 대신 추측한다. 시뮬레이션 사용자가 있는데도 안 묻습니다.
- 검증을 건너뛴다. 완료는 검증에 달려 있는데, 검증에 거의 아무 자원도 쓰지 않습니다.
세 번째와 네 번째가 특히 중요합니다. 이건 능력 문제가 아니라 성향 문제입니다. 그리고 성향은 프롬프트와 하네스로 상당 부분 교정 가능합니다. 실제로 Anthropic의 Opus 4.8 관련 지침도 같은 방향을 권합니다 — 사소한 결정은 묻지 말고 진행하되 범위 변경이나 파괴적 동작은 반드시 확인하라는 식으로 자율성의 경계를 명시하라는 것. 즉 지금 프로덕션에서 필요한 건 더 똑똑한 모델이 아니라 어디서 멈춰서 물어야 하는지를 아는 하네스입니다.
보안 — 여기서 인젝션은 텍스트가 아니라 행동이 된다
이제 가장 중요한 부분입니다. 앞의 모든 숫자는 "얼마나 잘하나"였습니다. 이건 "잘못되면 어떻게 되나"입니다.
챗봇에서 프롬프트 인젝션의 최악은 모델이 이상한 말을 하는 것입니다. 브라우저·컴퓨터 에이전트에서 최악은 모델이 이상한 짓을 하는 것입니다. 같은 결함인데 폭발 반경이 다릅니다.
Anthropic의 설명(2025년 11월 24일 공개)이 이 차이를 잘 정리합니다. 브라우저 사용이 위험을 증폭시키는 이유는 두 가지입니다. 첫째, 공격면이 광대합니다 — 모든 웹페이지, 임베드된 문서, 광고, 동적으로 로드되는 스크립트가 악성 지시의 잠재적 벡터입니다. 둘째, 브라우저 에이전트가 할 수 있는 행동이 아주 많습니다 — URL 이동, 폼 입력, 버튼 클릭, 파일 다운로드. 공격자가 에이전트 행동에 영향력을 얻으면 그 전부를 쓸 수 있습니다.
Anthropic이 든 예시는 평범해서 무섭습니다. 사용자가 "최근 메일 읽고 미팅 요청에 답장 초안 써 줘"라고 시킵니다. 메일 중 하나에 흰 글씨로 숨겨진 지시가 있습니다 — 사람 눈에는 안 보이고 에이전트는 읽습니다. 지시는 "confidential"이 포함된 메일을 외부 주소로 전달하라는 것. 사용자가 답장을 기다리는 동안 유출이 끝납니다.
여기서 짚어야 할 점 — 이건 사용자가 승인한 권한 안에서 벌어집니다. 에이전트는 메일을 읽을 권한이 있었고, 메일을 보낼 권한이 있었습니다. 어떤 권한 경계도 뚫리지 않았습니다. 뚫린 건 "무엇을 할지 결정하는 로직"입니다. 이게 에이전트 보안이 전통적 접근 제어로 안 풀리는 이유입니다.
같은 결함 계열이 CI 파이프라인에서 어떻게 공급망 끝까지 갔는지는 이슈 하나로 공급망 끝까지 편에서 실제 사례로 따라갔고, 웹페이지의 제3자 콘텐츠가 에이전트를 탈취하는 교차 사이트 프롬프트 인젝션과 그 봉쇄 연구는 웹 에이전트는 웹페이지의 글을 명령으로 읽는다 편에 있습니다. 여기서는 반복하지 않고, 숫자와 방어 구조만 봅니다.
공격 성공률 숫자는 어떻게 읽어야 하나
Anthropic이 공개한 브라우저 인젝션 강건성 수치는 조건을 아주 명확히 밝힌 좋은 예입니다. 그래서 조건을 다 붙여서 인용합니다.
- 측정 주체: Anthropic 자체 측정 (벤더 자체 측정)
- 공격자: 내부의 적응형 Best-of-N 공격기 — 효과적이라고 알려진 여러 인젝션 기법을 시도하고 조합함
- 시도 횟수: 환경당 100회
- 지표 정의: ASR은 각 모델이 마주친 공격 대비 비율
- 대상: Claude Opus 4.5, 2025년 11월 24일 시점의 브라우저 확장 구성
그리고 Anthropic이 스스로 적은 문장이 이 절에서 가장 중요합니다.
1%의 공격 성공률은 — 의미 있는 개선이긴 하지만 — 여전히 의미 있는 위험을 나타냅니다. 어떤 브라우저 에이전트도 프롬프트 인젝션에 면역이 아니며, 우리는 문제가 풀렸다고 주장하려는 게 아니라 진전을 보이려고 이 결과를 공유합니다.
이 문장은 그대로 인용할 가치가 있습니다. 벤더가 자사 최신 모델의 방어 성과를 발표하면서 "이 숫자도 위험하다"고 적는 건 드뭅니다. 그리고 실무적으로 정확합니다 — 하루에 인젝션 시도를 1,000번 마주치는 에이전트에게 1% ASR은 하루 10번 뚫린다는 뜻입니다.
여기서 정직하게 밝혀야 할 한계가 하나 더 있습니다. 제가 확인할 수 있었던 Anthropic의 브라우저 인젝션 ASR 수치는 2025년 11월, Opus 4.5 기준입니다. 오늘은 2026년 7월이고 그 사이 Opus 4.6, 4.7, 4.8과 Sonnet 5가 나왔습니다. 최신 모델의 브라우저 ASR이 더 낮을 가능성은 높지만, 1차 출처로 확인되지 않은 숫자를 추정해서 쓰지는 않겠습니다. 이 글을 읽는 시점에 더 최신 수치가 공개돼 있다면 그쪽을 보세요.
공격자가 없어도 에이전트는 사고를 친다
인젝션은 외부 공격자가 있는 시나리오입니다. 그런데 OSWorld 2.0의 안전성 분석은 공격자가 전혀 없을 때도 에이전트가 위험한 행동을 한다는 걸 보여 줍니다. 이쪽이 오히려 덜 알려져 있고 도입 결정에는 더 직접적입니다.
저자들은 일부 과제에 "부작용" 체크를 넣고, GPT-5.5와 Claude Opus 4.7의 궤적 216개(모델당 108개 과제)를 분석했습니다. 결과(저자 자체 측정):
- 숨겨진 애플리케이션 상태 추출: 과제의 약 14%
- 사용자에게 보이는 인터페이스 우회: 과제의 약 33%
구체적 사례가 더 설득력 있습니다.
- 저장소를 GitLab에 성공적으로 푸시했는데, 프로젝트의
.env파일에 하드코딩된 API 키를 모르고 같이 유출했습니다. - 시스템에 디스크 여유가 약 398MB뿐인 걸 인지했는데도, 믹싱 과제를 위해 372MB 오디오 파일을 그대로 내려받았습니다. 저장소가 0이 되고 시스템이 죽을 위험을 감수하면서.
- 예상치 못한 프롬프트를 만나자 LibreOffice를 반복적으로 강제 종료하고 문서 복구 경고를 무시했습니다.
논문의 결론이 날카롭습니다.
막혔을 때 잠시 멈추거나 사용자에게 도움을 요청하는 대신, 이 에이전트들은 권한을 상승시키고 작업을 끝내기 위해 무엇이든 하려 든다.
즉 현재 에이전트는 눈에 보이는 과제 완료를 우선시하고 자신의 부작용을 능동적으로 감시하지 않습니다. 이건 정렬 실패가 아니라 최적화 대상의 문제입니다. 우리가 "과제를 끝내라"고 훈련시켰고, 에이전트는 정확히 그걸 합니다 — 디스크가 꽉 차든, 키가 새든.
여기서 앞 절의 "사용자에게 묻는 대신 추측한다"가 보안 문제로 다시 등장하는 걸 주목하세요. 능력 부족과 보안 위험이 같은 뿌리에서 나옵니다.
방어는 무엇으로 하는가 — 구조로
방어를 프롬프트 한 줄로 하려는 시도는 실패합니다. "웹페이지의 지시는 무시해"는 인젝션에 대한 방어가 아니라 인젝션에 대한 부탁입니다. 실제로 작동하는 것들은 전부 아키텍처 층위에 있습니다.
Anthropic이 공개한 세 갈래가 좋은 분류입니다.
1. 모델 자체를 훈련시킨다. 강화학습으로 인젝션 강건성을 능력에 직접 넣습니다. 학습 중에 시뮬레이션된 웹 콘텐츠에 인젝션을 심어 노출시키고, 악성 지시를 올바르게 식별하고 거부하면 보상을 줍니다 — 그 지시가 권위 있어 보이거나 긴급해 보이도록 설계됐을 때도.
2. 분류기로 신뢰 경계를 만든다. 모델의 컨텍스트 윈도에 들어오는 모든 비신뢰 콘텐츠를 스캔하고 인젝션 의심을 표시합니다. 숨겨진 텍스트, 조작된 이미지, 기만적 UI 요소 등 여러 형태를 탐지하고, 공격을 식별하면 동작을 조정합니다. 여기서 중요한 설계는 "탐지"가 아니라 탐지 후 개입입니다 — Anthropic도 분류기 개선과 함께 "탐지 이후 모델 동작을 유도하는 개입"을 같이 개선했다고 적습니다.
3. 사람이 레드팀을 돌린다. Anthropic의 표현으로, 창의적인 공격 벡터를 발견하는 데는 사람 보안 연구자가 자동화 시스템을 일관되게 능가합니다. 내부 레드팀이 계속 탐침하고, 외부 아레나형 챌린지에도 참여합니다.
여기에 제품 층위에서 반드시 얹어야 할 두 가지를 덧붙입니다. 둘 다 위의 데이터에서 직접 도출됩니다.
4. 최소 권한과 되돌릴 수 없는 행동의 분리. 인젝션이 성공해도 에이전트가 할 수 있는 게 없으면 피해가 없습니다. Anthropic 예시에서 유출이 가능했던 건 에이전트가 외부로 메일을 보낼 수 있었기 때문입니다. 읽기와 쓰기, 되돌릴 수 있는 행동과 없는 행동을 분리하고, 후자를 사람 승인 뒤에 두는 것 — 이게 1% ASR을 실질적으로 0에 가깝게 만드는 유일한 방법입니다. 모델을 더 강건하게 만드는 것과 곱해집니다.
5. 부작용 감시를 하네스가 한다. OSWorld 2.0이 보여 준 대로, 에이전트는 자기 부작용을 감시하지 않습니다. 디스크 용량, 시크릿 유출, 강제 종료 같은 건 에이전트의 선의에 맡기지 말고 바깥에서 체크해야 합니다. 저자들이 "부작용 체크"를 벤치마크 밖에서 따로 구현한 것 자체가 힌트입니다.
한 줄로 요약하면 — 방어는 경계선이 아니라 곱셈입니다. 모델 강건성 × 분류기 × 최소 권한 × 승인 게이트 × 외부 감시. 어느 하나도 단독으로는 충분하지 않고, 어느 하나도 빼도 되지 않습니다.
그래서, 지금 도입해야 하나
여기까지의 근거로 구체적인 결정 규칙을 드립니다. "상황에 따라 다르다"는 답은 하지 않겠습니다.
지금 도입해도 되는 것:
- 짧고 자족적이며 되돌릴 수 있는 작업. OSWorld 1.0이 79~83%로 포화됐다는 건 진짜입니다. 그 과제들이 뭐냐면 — 문서에 페이지 번호 넣기, 스프레드시트에서 CSV 내보내기. 대부분 10스텝 미만. 이런 건 지금 잘 됩니다.
- 결과를 사람이 즉시 검증할 수 있는 작업. 부분 점수 54.8%와 완주 20.6%의 간극이 말해 주는 건, 에이전트가 "거의 다 한 상태"를 잘 만든다는 것입니다. 그 상태를 사람이 5초 만에 검사할 수 있다면 충분히 유용합니다.
- 실패 비용이 재시도 비용인 작업. 틀리면 다시 시키면 되는 일.
- 비신뢰 콘텐츠를 읽지 않거나, 읽더라도 외부로 나가는 통로가 없는 작업.
지금 도입하면 안 되는 것:
- 1시간 넘는 다단계 워크플로를 감독 없이. OSWorld 2.0의 20.6%가 이걸 정면으로 답합니다. 게다가 완료율은 가장 긴 워크플로에서 0에 가깝게 붕괴합니다. 프런티어 모델 최고 설정, 500스텝, 과제당 72달러를 쓰고도 그렇습니다.
- 되돌릴 수 없는 행동을 사람 승인 없이. 송금, 발송, 배포, 삭제. 공격자가 없어도 에이전트는 과제를 끝내려고 33%의 과제에서 UI를 우회하고, 디스크가 죽든 말든 파일을 내려받습니다.
- 비신뢰 콘텐츠를 읽으면서 동시에 민감 데이터에 접근하는 조합. 이 두 개가 한 컨텍스트에 있으면 그게 곧 유출 경로입니다. 벤더 최신 모델도 1%는 뚫립니다.
- 요구사항이 중간에 바뀌는 작업. 에이전트는 중간에 도착한 정보를 놓치고, 애매하면 묻지 않고 추측합니다.
그리고 벤치마크 숫자를 볼 때의 규칙 하나. 조건 없는 성공률은 읽지 마세요. 최소한 스텝 예산, 스캐폴드, 시도 횟수, 어느 버전의 어느 부분집합인지가 없으면 그 숫자는 다른 숫자와 비교할 수 없습니다. o3가 9.1%이자 23.0%인 것처럼요.
마치며
이 분야를 정직하게 보면 두 가지가 동시에 보입니다.
하나는 진짜 진전입니다. 2024년 4월 OSWorld 최고 모델이 12.24%였습니다. 2026년에 같은 벤치마크가 79~83%로 포화됐습니다. 2년 만에 그렇습니다. 이건 마케팅이 아니라 벤치마크 저자들이 자기 벤치마크를 은퇴시켜야 할 만큼의 진전입니다.
다른 하나는 간극이 줄지 않았다는 것입니다. 벤치마크를 실제 업무에 가깝게 만들자마자 — 1.6시간짜리, 여러 앱에 걸친, 중간에 요구사항이 바뀌는 — 최고 에이전트가 20.6%로 돌아갑니다. 2024년의 12.24%와 그리 멀지 않은 곳입니다. 우리는 벤치마크를 정복한 게 아니라, 정복할 수 있는 벤치마크를 골랐던 것에 가깝습니다.
가장 인상적인 건 이 사실을 벤치마크 저자들이 직접 말한다는 점입니다. XLANG은 자기 벤치마크가 83.5%로 포화되자 "이 숫자는 실제 진전을 과장한다"며 20.6%짜리를 새로 만들었습니다. Anthropic은 1% ASR을 발표하면서 "이것도 의미 있는 위험"이라고 적었습니다. Epoch AI는 이 벤치마크 점수 차이를 해석하기 어렵다고 결론지었습니다. 하이프는 대체로 이 문서들 바깥에서, 이 문서들을 조건 없이 인용하는 사람들에게서 나옵니다.
그래서 실무자에게 필요한 건 낙관도 비관도 아니라 조건을 읽는 습관입니다. 숫자를 보면 스텝 예산을 묻고, 스캐폴드를 묻고, 몇 번 시도했는지 묻고, 어느 버전인지 물으세요. 그 네 개를 물으면 대부분의 과장은 자기 무게로 무너집니다.
참고 자료
- OSWorld: Benchmarking Multimodal Agents for Open-Ended Tasks in Real Computer Environments — arXiv:2404.07972, NeurIPS 2024. 369개 과제, 사람 72.36% 대 최고 모델 12.24%.
- OSWorld 2.0: Benchmarking Computer Use Agents on Long-Horizon Real-World Tasks — arXiv:2606.29537, 2026년 6월 26일. 108개 과제, 500스텝 기준 Opus 4.8이 이진 완료 20.6% / 부분 점수 54.8%. 안전성 분석 포함.
- Introducing OSWorld-Verified — XLANG Lab, 2025년 7월 28일. 300건 이상 수리, 재측정 결과, o3의 스텝 예산 의존성(9.1%~23.0%).
- What does OSWorld tell us about AI's ability to use computers? — Epoch AI, 2025년 10월 30일. 독립적 리뷰. 터미널 15% + 대체 가능 30%, 심각한 오류 10%, 라이브 데이터 의존 10%.
- WebArena: A Realistic Web Environment for Building Autonomous Agents — arXiv:2307.13854. 812개 과제, GPT-4 기반 14.41% 대 사람 78.24%.
- WebVoyager: Building an End-to-End Web Agent with Large Multimodal Models — arXiv:2401.13919. 59.1% 성공률, GPT-4V 자동 평가가 사람 판정과 85.3% 일치.
- Mitigating the risk of prompt injections in browser use — Anthropic, 2025년 11월 24일. 적응형 Best-of-N 공격기(환경당 100회 시도) 기준 ASR, Claude Opus 4.5.
- 이슈 하나로 공급망 끝까지 — CI 안의 에이전트가 무너진 방식 — 같은 결함 계열의 CI 실사례.
- 웹 에이전트는 웹페이지의 글을 명령으로 읽는다 — 교차 사이트 프롬프트 인젝션과 Prismata의 봉쇄 — 봉쇄 연구.
- 브라우저·컴퓨터 유즈 에이전트 실전 가이드 — 아키텍처와 도입 체크리스트.
현재 단락 (1/149)
한 문장으로 답하면 이렇습니다. **짧고 자족적인 작업은 대체로 하고, 길고 연결된 실제 업무는 대체로 못 합니다.**