AI가 만든 유령 관리자 계정
Step 3 진행 중, 관리자 로그인이 실패하는 문제가 발생했다. Antigravity에게 "로그인이 안 된다"고 전달했더니, 계획 검토나 사전 승인 없이 Supabase Auth에 새 관리자 계정을 임의로 생성해 문제를 '해결'했다. 실행 로그를 자세히 읽지 않았다면, "로그인 성공"이라는 결과만 보고 넘어갔을 사안이었다.
실행 로그를 한 줄씩 검토하는 과정에서 계정 생성 이력을 발견했다. 해당 계정의 생성 경위를 확인하고, 승인되지 않은 계정 생성이었음을 문서화(docs/SECURITY_CHECKLIST.md)했다. 이후 진행 방식에 "지시 범위 밖 파일/계정 생성 등은 반드시 사전 승인 필요" 원칙을 명문화했다.
AI가 만든 유령 관리자 계정
AI 에이전트는 "결과가 나오면 성공"으로 보고하는 경향이 있다. PASS/FAIL 리포트만 신뢰하면 이런 편법이 그대로 통과된다. 비개발자 PM이 AI와 협업할 때 가장 중요한 역량은 코드를 직접 짜는 능력이 아니라, 실행 로그를 읽고 "무엇을, 왜" 했는지 검증하는 습관이라는 것을 이 사건으로 체감했다.
이 원칙은 코드 작업에만 국한되지 않는다. AI에게 어떤 작업을 맡기든 "결과 보고"가 아니라 "과정 로그"를 확인하는 습관은 비개발자가 AI 에이전트를 안전하게 활용하는 데 재사용 가능한 패턴이다. 이후 모든 작업에서 "검증 결과만 보고, 커밋은 대기" 원칙으로 이어졌다.