CHAP: Collaborative Human-Agent Protocol — 인간과 AI 에이전트의 감사 가능한 협업을 위한 오픈 프로토콜
Collaborative Human-Agent Protocol (CHAP)
TL;DR Highlight
AI 에이전트와 사람이 함께 일할 때 '누가, 무엇을, 왜 결정했는지'를 표준화된 방식으로 기록하고 감사할 수 있게 해주는 오픈 프로토콜.
Who Should Read
AI 에이전트를 프로덕션에 배포하면서 human-in-the-loop 워크플로우, 감사 로그, 또는 규제 컴플라이언스를 고민하는 백엔드/플랫폼 개발자. 특히 의료, 금융, 법률, 고객지원 도메인에서 멀티에이전트 시스템을 설계하는 개발자에게 적합.
Core Mechanics
- MCP(에이전트↔툴)와 A2A(에이전트↔에이전트) 프로토콜이 이미 있지만, '인간+에이전트가 함께 작업하는 공유 워크스페이스'를 정의하는 레이어가 빠져 있음 — CHAP이 그 갭을 채움.
- 핵심 6개 프리미티브: Workspace(협업 공간), Participant(참여자), Coordinator(중재 서비스), Task(작업 단위), Artefact(산출물), Evidence Entry(변경 불가 감사 기록)로 구성됨.
- human override(사람이 AI 초안을 수정하는 행위)를 단순 텍스트가 아닌 structured diff + 이유 + 태그로 기록 — 이걸로 나중에 '어디서 AI가 틀렸는지' 분석 가능.
- shadow → trial → production 모드 프로모션 사다리를 지원해서, 새 에이전트 버전을 실제 배포 전에 안전하게 검증할 수 있음.
- intent_preserved 플래그로 '사람이 AI 표현을 다듬은 것'(true)과 '완전히 다른 결정으로 교체한 것'(false)을 구분 — 고쳐야 할 문제의 종류가 달라짐.
- Core + 선택적 Profile 구조로 설계되어, 소규모 팀은 Core만으로 시작하고 규제 환경에서는 Identity, Signing, SCITT 감사 프로필을 점진적으로 추가할 수 있음.
Evidence
- v0.2 기준 59개 메서드 카탈로그 정의, 현재 레퍼런스 구현은 Core + Review + Modes + Routing + Control 프로필 dispatch 지원.
- 실제 사용 사례 12개를 상세 코드와 함께 제시 — 1인 개발자부터 GMP 규제 바이오파마 제조까지 커버.
- 두 번째 독립 구현체가 아직 없어 Full 컨포먼스 레벨 클레임 불가(v0.2 현재 한계로 명시), Minimal/Recommended 두 레벨만 선언 가능.
- override 분석 예시: 2개월 누적 결과에서 31개 false-positive 오버라이드 중 22개가 동일 프레임워크 패턴에서 발생 — 프롬프트 수정으로 연결됨을 데모.
How to Apply
- AI 코드리뷰 봇을 운영 중이라면, 개발자가 리뷰를 dismiss할 때 decide.reject 메서드로 reason_category와 rationale을 기록하도록 연동하면 분기별 '어떤 유형의 AI 플래그를 몇 번 무시했는지' 리포트를 자동 생성할 수 있음.
- 고객 지원 에이전트에서 shift handoff가 슬랙 메시지로 이루어지고 있다면, handoff.propose 메서드로 담당 태스크 목록 + 인수인계 노트를 workspace evidence chain에 기록하면 다음 교대자가 단일 쿼리로 현황 파악 가능.
- 규제 감사(FCA, GMP, DSA 등)가 필요한 환경에서는 audit-scitt/1.0 프로필을 추가해 외부 transparency log에 증거를 앵커링하면, 감사관이 내부 시스템을 신뢰하지 않아도 체인 무결성을 독립적으로 검증할 수 있음.
Code Example
// 로컬 CHAP Coordinator 부트스트랩 (Node.js)
import { Coordinator } from "@chap/coordinator";
const coord = new Coordinator({ storage: "sqlite:./chap.db" });
// 워크스페이스 생성
await coord.dispatch({
jsonrpc: "2.0", id: "init",
method: "workspace.create",
params: {
workspace_id: "wsp_my_reviews",
profiles: ["core/1.0", "review/1.0"]
}
});
// 사람이 AI 초안을 수정했을 때 override 기록
await coord.dispatch({
jsonrpc: "2.0", id: "ov1",
method: "decide.override",
params: {
task_id: "tsk_pr_482",
from: "human:me@local",
logical_id: "lgl_pr_482_review",
intent_preserved: true, // true: 표현 다듬음, false: 다른 결정으로 교체
diff: [
{ "op": "replace", "path": "/comments/0/severity",
"from": "warning", "to": "info" }
],
rationale: "False positive: framework signature pattern",
tags: ["false-positive", "framework-pattern-misread"]
}
});
// 감사 로그 조회
const audit = await coord.dispatch({
jsonrpc: "2.0", id: "a1",
method: "audit.read",
params: {
workspace_id: "wsp_my_reviews",
filter: { task_id: "tsk_pr_482" }
}
});
for (const entry of audit.result.entries) {
console.log(`[${entry.envelope.ts}] ${entry.envelope.method}`);
}Terminology
관련 논문
AI로 코딩할 때 Flow State(몰입 상태)를 유지하는 방법
Claude 같은 에이전트 기반 AI 코딩 도구가 보편화되면서 개발자들이 기존의 몰입 상태(flow state)를 잃어버리고 있다는 문제를 공유하고, 커뮤니티에서 각자의 대처 방법을 논의한 스레드.
Claude Desktop, 채팅만 해도 실행할 때마다 1.8GB Hyper-V VM을 띄운다
Claude Desktop Windows 앱이 사용자가 AI 코드 실행 기능(Cowork)을 쓰지 않아도 실행 시마다 자동으로 1.8GB짜리 Hyper-V 가상머신을 생성해 메모리를 잡아먹는 버그가 보고됐다.
Apache Burr: 신뢰할 수 있는 AI 에이전트 빌드 프레임워크
LangChain 같은 복잡한 프레임워크에 지친 개발자들을 위해 순수 Python으로 AI 에이전트와 상태 머신을 만들 수 있는 Apache 인큐베이팅 프레임워크다. 상태 관리, 관측성, Human-in-the-Loop 등을 DSL 없이 제공한다는 점이 특징이다.
€0.01 송금 한 번으로 뱅킹 AI 에이전트를 해킹하는 방법
유럽 2위 디지털 뱅크 Bunq의 AI 어시스턴트에서 발견된 간접 프롬프트 인젝션 취약점으로, 단돈 €0.02 송금만으로 사용자에게 피싱 공격을 자동 실행할 수 있었다.
Grit: AI 에이전트로 Git을 Rust로 처음부터 재작성하기
GitButler 팀이 AI 에이전트 스웜을 활용해 Git을 Rust로 처음부터 재작성한 Grit 프로젝트를 공개했는데, GPL 라이선스 문제와 실용성 논란이 커뮤니티에서 크게 일고 있다.
Claw Patrol: AI 에이전트를 위한 보안 방화벽
AI 에이전트가 실행하는 SQL, kubectl, HTTP 요청을 프록시에서 가로채 HCL 규칙으로 허용/차단/사람 승인 요청을 할 수 있는 오픈소스 보안 게이트웨이. 에이전트가 프로덕션 환경에서 위험한 작업을 실행하기 전에 제어할 수 있어 중요하다.
Related Resources
Original Abstract (Expand)
Foundation models are moving from response generation into operational roles. They plan across steps, call tools, request human input, coordinate with other agents, and increasingly carry responsibility for work that affects customers, claims, code, contracts, and clinical decisions. Production deployments are no longer one human supervising one model. They are multi-human, multi-agent collaborations that cross teams, time zones, and trust boundaries. The technical surface for this collaboration remains weakly specified. When an agent drafts a response and a human edits it before it ships, the moment of human judgement is the most valuable signal in the system. In current practice it is recorded, if at all, in application code, chat threads, ticket comments, and tribal memory. Two protocol standards address adjacent concerns: MCP standardises agent access to tools and data, and A2A standardises agent-to-agent interoperability. Neither defines the shared workspace in which humans and agents perform accountable work together. This paper presents CHAP, the Collaborative Human-Agent Protocol. Under CHAP, the override that used to vanish into a chat thread becomes a structured event carrying a diff, a rationale, and a content hash. The handoff between shifts becomes a portable envelope rather than a pinned message. The human approval of an agent's draft becomes a non-repudiable signed decision that can be replayed years later. The protocol achieves this through a small Core (workspaces, participants, tasks, artefacts, and an append-only evidence log) together with composable profiles that add review, modes, routing, deliberation, handoff, identity, signatures, and transparency-backed audit as deployments require them. Specification, reference implementation, conformance suite, and worked examples are available at: https://github.com/BrightbeamAI/chap