Sanctum 첫 파일럿 체크리스트 강화 보고서
보고서 목적
이 보고서는 Sanctum의 첫 LLM 운영 파일럿을 실제로 시작하기 위한 의사결정형 체크리스트다. 목표는 Graphify, RAG, SSOT, service context pack, Codex App, discord-codex-bot runtime을 한 번에 전면 도입하는 것이 아니라 작은 범위에서 검증 가능한 운영 단위를 만드는 것이다.
핵심 결론
첫 파일럿은 wallet-api 중심 context-only pilot으로 시작해야 한다. application code 변경은 기본적으로 금지하거나 별도 승인으로 제한한다.
contracts/가 canonical contract SSOT로 유지되는가.- Graphify와 RAG가 navigation/retrieval 계층으로만 쓰이는가.
wallet-api/AGENTS.md와wallet-api/llm-context/가 worker 실행에 충분한가.- discord-codex-bot runtime의 write allowlist와 diff guard가 범위 침범을 실제로 막는가.
성공 기준은 LLM이 많은 파일을 읽었는지가 아니라 source-backed fact와 judgment를 구분하고, allowlist 밖 변경을 만들지 않으며, dependency 이슈를 handoff로 전환하고, 실패 조건에서 멈출 수 있는지다.
원본 문서의 주요 내용
첫 파일럿의 권장 대상은 wallet-api 중심 request flow다. 포함 범위는 wallet-api context pack, kms-api와 hd-manager dependency context, contracts/ mapping, root/e2e handoff rule, Graphify root graph, RAG source registry, runtime write allowlist/diff guard dry-run이다.
읽기 범위는 wallet-api/**, kms-api/**, hd-manager/**, contracts/**, root AGENTS.md, 관련 human SSOT와 flow/runbook docs다. rust-mpc/mpc-manager-rs/**와 rust-mpc/party-node-rs/**는 첫 파일럿에서 read-only dependency context로 제한한다. 쓰기 범위는 wallet-api/AGENTS.md, wallet-api/llm-context/**, 필요 시 root pilot registry 정도다. dependency 서비스와 canonical contracts/ 변경은 propose-only다.
Sanctum 적용 해석
| 구성요소 | 파일럿에서의 역할 | 금지 또는 제한 |
|---|---|---|
wallet-api | 중심 worker 대상, context pack 작성 대상 | 승인 없는 application code 변경 금지 |
kms-api | dependency public interface와 key/security boundary 제공 | wallet-api-worker가 직접 구현 수정 금지 |
hd-manager | derivation 관련 dependency stub 제공 | 내부 구현 변경은 handoff로만 처리 |
rust-mpc/mpc-manager-rs | read-only e2e dependency context | 첫 파일럿에서 protocol 변경 금지 |
rust-mpc/party-node-rs | read-only e2e dependency context | party node 구현 변경 금지 |
contracts/ | canonical contract SSOT | service context에 contract fact 복제 금지 |
| root/e2e agent | cross-service validation과 handoff intake | service-local owner 우회 금지 |
wallet-api/llm-context/contracts.md는 wallet flow가 어떤 canonical contract file을 참조하는지, wallet-api가 producer인지 consumer인지, 어떤 테스트와 handoff가 필요한지 기록해야 한다. ABI, schema, enum, field-level truth를 복사하면 contract duplication이 발생한다.
운영 판단
첫 파일럿은 wallet-api 하나로 충분하다. 동시에 kms-api, hd-manager, MPC worker까지 열면 boundary 검증보다 coordination 비용이 커진다. 첫 단계 산출물은 context pack과 guardrail 문서여야 하며, 코드 변경은 runtime enforcement가 통과한 뒤 Stage 2에서 다룬다. Graphify는 root graph로 시작하고 cwd-specific graph는 root graph noise가 실제 문제라는 증거가 생긴 뒤 검토한다. RAG source registry는 canonical SSOT와 generated artifacts를 분리해야 한다. Codex App 결과는 personal exploration/review lane의 결과로 취급한다.
리스크와 가드레일
| 파일럿 리스크 | 실패 징후 | 가드레일 |
|---|---|---|
| Graphify 오용 | graph edge를 읽지 않은 파일의 사실 근거로 사용 | Graphify 결과 파일 direct read 필수 |
| RAG 오용 | source link 없이 operational decision 확정 | source registry, freshness, validation state 확인 |
| contract duplication | llm-context/contracts.md에 schema/field truth 복사 | canonical path mapping만 허용 |
| scope invasion | wallet-api-worker가 dependency 서비스 수정 | propose-only path와 diff guard |
| Codex App boundary 과신 | workspace 분리를 hard boundary로 표현 | Codex App은 personal lane으로 라벨링 |
| e2e owner 침범 | root/e2e agent가 service-local 구현을 직접 수정 | 원인 서비스별 handoff와 승인 scope |
실행 체크리스트
1. 파일럿 결정
- 파일럿 대상을
wallet-api중심 flow로 확정한다. - application code 변경 기본값을
context/guardrail only로 둔다. - pilot owner, review owner, root/e2e owner를 정한다.
contracts/canonical owner를 확인한다.- 성공/실패 기준을 pilot 시작 전에 문서화한다.
2. 소스 준비
- root
AGENTS.md를 확인한다. wallet-apiservice entrypoint, routes/controllers, tests, config examples를 식별한다.kms-apipublic interface와 key lifecycle boundary를 확인한다.hd-managerpublic interface와 derivation boundary를 확인한다.- MPC services는 read-only dependency role만 요약한다.
contracts/에서 wallet/KMS/HD flow 관련 canonical path를 식별한다.
3. Context pack 작성
wallet-api/AGENTS.md에 allowed/disallowed task, read/write/propose-only boundary, contract reference rule, handoff rule을 둔다.wallet-api/llm-context/service.md에 service responsibility, public API, downstream dependency, non-goals를 둔다.commands.md,test-scope.md,e2e-role.md,contracts.md,dependency-stubs.md를 작성한다.contracts.md에는 canonicalcontracts/path mapping만 둔다.
4. Graphify/RAG와 runtime
- root Graphify graph를 생성하고 branch, commit, generatedAt, scan root, ignore policy를 기록한다.
- rename/delete/move, branch switch, merge/rebase, ignore change, shared file change를 stale condition으로 기록한다.
- RAG source registry를 canonical SSOT, contracts SSOT, worker context pack, Derived Knowledge, generated artifacts로 분리한다.
wallet-api-workercwd, read allowlist, write allowlist, propose-only paths, forbidden paths를 정의한다.- diff guard dry-run과 approval scope 불일치 차단을 확인한다.
관련 주제 연결
이 체크리스트는 adoption roadmap의 첫 실행 단위이며 risks-and-guardrails 문서의 최소 강제 장치를 검증하는 테스트 케이스다. 통과되면 wallet-api에서 kms-api, hd-manager로 확장할 수 있다. 실패하면 Graphify/RAG 품질 문제가 아니라 운영 boundary와 SSOT discipline 문제로 보고 다음 서비스 확장을 보류해야 한다.