# 풀 에이전트 미팅: fireauto 분석 + 우리 시스템 적용 가능 부분 도출 **일시**: 2026-03-06 **주관**: 오딘 (개발2팀장) **참석자**: 토르(백엔드), 프레이야(프론트엔드), 미미르(UX/UI), 헤임달(테스터) **안건**: fireauto(클로드 코드 플러그인) 접근법 분석 및 우리 시스템 적용 가능 부분 도출 --- ## 1. fireauto 보일러플레이트+플러그인 조합 장단점 ### 합의 사항 **장점 (전원 동의)** - 반복 구현 제거 효과가 실질적 (Auth, Rate Limiting, DB 연동, AI 프로바이더 추상화) - 40개 서비스에서 검증된 패턴이라는 점에서 신뢰성 확보 - "아이디어→1시간 골격" 생산성 향상은 매력적 **단점 (전원 동의)** - **Supabase 종속성**: 우리 InsuWiki는 Firebase 기반, ThreadAuto는 파일 기반 → DB 충돌 - **Lemon Squeezy 단일화**: 국내 결제(토스페이먼츠, KG이니시스) 미지원 - **보안 기본값 위험**: 템플릿 코드의 하드코딩 시크릿, CORS "*" 등 기본 취약점 (헤임달 강조) - **기존 프로젝트 적용 불가**: InsuWiki에 직접 적용하면 프론트엔드 전면 재작성 수준 (프레이야 경고) ### 결론 > **fireauto를 통째로 채택하는 것이 아니라, 우리에게 없는 것만 모듈 단위로 선택 적용한다.** --- ## 2. API/KEY 세팅 자동화 (제이회장님 고충 해결 핵심) ### 토르 제안 (전원 찬성) **현재 문제점**: - .env.keys에 키 발급처 메타데이터 없음 (만료일, 프로젝트, 발급 URL) - 새 프로젝트 시작 시 필요 키 목록을 사람이 파악해야 함 - 키 존재 여부 검증이 런타임에서야 발생 **합의된 설계안**: 1. `key-registry.json` — 키 레지스트리 (발급처, 만료일, 프로젝트별 필요 키 매핑) 2. `key-checker.py` — 프로젝트 타입별 필요 키 자동 체크 + 누락 시 발급 가이드 출력 3. `project-kickoff` 스킬 Phase 0에 키 체크 단계 삽입 → 런타임 에러가 아닌 킥오프 단계에서 선제 차단 ### 헤임달 보안 추가 사항 - pre-commit hook에 시크릿 커밋 방지 추가 - 키별 권한 분리 (각 팀/스킬은 필요한 키만 접근) - 감사 로그: 누가 언제 어떤 키를 사용했는지 기록 ### 난이도/시간 - 핵심 구현: 2~3시간 (Quick Win #1) - 보안 강화: 추가 1~2일 --- ## 3. 프로젝트 보일러플레이트 ### 프레이야 제안 **우리 스택 기반 템플릿 추출이 fireauto 직접 도입보다 효과적**: - InsuWiki에서 공통 패턴 추출 (GlobalHeader, AuthContext, useSwipeableTabs 등) - `jay-nextjs-template/` — Next.js + Firebase + Tailwind v4 + Vitest 기본 셋 - `python-cli-template/` — ThreadAuto 패턴 추출 ### 토르 보완 - 타입별 템플릿 시스템: `nextjs-firebase`, `python-cli`, `python-saas` - `boilerplate-gen.py` — 템플릿 생성 + 프로젝트명 치환 + .env.template 자동 생성 - `fullstack-builder` 스킬에 우리 표준 템플릿을 seed로 삽입 ### 난이도/시간 - 생성 스크립트: 반나절 - 각 템플릿 품질 정비: 1~2일 --- ## 4. SEO 자동 점검 (InsuWiki 즉시 적용) ### 프레이야 진단 (코드 직접 확인) **InsuWiki 즉시 수정 가능한 문제**: 1. `generateMetadata`의 description이 마크다운 미정제 (`content.slice(0,150)` → `stripMarkdown()` 미적용) 2. 비공개 문서에 `robots: noindex` 미적용 3. `sitemap.ts`, `robots.txt` 미존재 **합의된 액션**: - Quick Win: 위 3개 즉시 수정 (2시간 이내) - 중기: `seo-auditor` 스킬 신규 추가 (체크리스트 기반 자동 점검) --- ## 5. 보안 취약점 스캔 자동화 ### 헤임달 주장 + 토르 동의 **기반 이미 존재**: `red-team-auto-review.py`, `red_team/` 모듈, Claude Code hooks **갭 분석**: 1. 파일 단위 → 프로젝트 단위 스캔 확장 필요 2. pre-tool-use 훅에 하드코딩 시크릿 즉시 감지 미통합 3. 외부 도구(bandit, semgrep, npm audit) 연동 미구현 **합의된 레이어 구조**: - 코드 작성 시: Claude Code pre-tool-use 훅 (즉시 감지) - 커밋 전: red-team-auto-review.py (내부 패턴 스캔) - 프로젝트 단위: 로키 에이전트 (semgrep + bandit + 내부) - 배포 전: 로키 오케스트레이터 (전체 통합 리포트) ### 헤임달 경고 > "자동 스캔을 '1차 게이트'로만 사용하고, 로키 레드팀 수동 검증은 절대 축소하지 말 것. 거짓 안심(False Sense of Security)이 가장 위험하다." --- ## 6. 자동화 기능 UX (CLI vs 대화형) ### 미미르 결론 **기능별 최적 인터페이스**: - 아이디어→기획서: 대화형 (탐색적 작업) - SEO 점검: CLI (반복 작업, CI/CD 연동) - 보안 스캔: CLI + 대화형 후속 처리 - 결제/로그인 세팅: 인터랙티브 CLI (단계별 확인) **Claude Code 환경에서**: 모든 인터페이스를 대화 내에서 처리, 필요시만 백그라운드 CLI 실행 --- ## 7. 3문서 시스템 연계 ### 미미르 분석 **자동화 적합도**: - 체크리스트: 85% 자동화 가능 (기술 태스크 분해, 의존성 파악) - 계획서: 65% (기능 목록, 기술 스택 제안은 자동, 우선순위/비즈니스 맥락은 사람) - 맥락노트: 30% (유사 프로젝트 참조만 자동, 팀 합의/정치적 맥락은 불가) **핵심 원칙**: "AI가 70% 채우고, 핵심 결정 3개만 사람에게 물어봄" --- ## 적용 가능 항목 + Quick Win 투표 결과 ### Quick Win (1주 내 실행 가능, 전원 찬성) | 순위 | 항목 | 찬성 | 난이도 | 임팩트 | 소요 | |------|------|------|--------|--------|------| | QW-1 | API 키 레지스트리 + 자동 체크 | 4/4 | 낮음 | 높음 | 2~3시간 | | QW-2 | InsuWiki SEO 즉시 수정 (description 정제, sitemap, robots) | 4/4 | 낮음 | 높음 | 2시간 | | QW-3 | pre-commit/pre-tool-use 시크릿 감지 훅 | 4/4 | 낮음 | 높음 | 1~2시간 | | QW-4 | .env.template 자동 생성 | 3/4 | 낮음 | 중간 | 반나절 | ### 중기 (1~4주) | 항목 | 찬성 | 난이도 | 임팩트 | |------|------|--------|--------| | 보일러플레이트 타입별 템플릿 추출 | 4/4 | 중간 | 높음 | | seo-auditor 스킬 추가 | 3/4 | 낮음 | 중간 | | red-team-auto-review 프로젝트 스캔 확장 | 4/4 | 중간 | 높음 | | Rate Limiting 표준 미들웨어 | 4/4 | 중간 | 높음 | | AI 프로바이더 추상화 레이어 | 3/4 | 중간 | 중간 | | 체크리스트 자동 생성 고도화 (3docs-create 스킬 강화) | 4/4 | 낮음 | 높음 | ### 장기 (1~3개월) | 항목 | 난이도 | 임팩트 | |------|--------|--------| | Skills Git 서브모듈화/npm 패키징 | 높음 | 중간 | | 보안 성숙도 로드맵 (Vault, 키 로테이션) | 높음 | 높음 | | InsuWiki 특화 RAG 보일러플레이트 | 높음 | 높음 | | 개발자 온보딩 대시보드 | 높음 | 중간 | --- ## 팀장 종합 판단 (오딘) fireauto는 "AI SaaS를 빠르게 런칭"하는 도구. 우리 시스템은 이미 멀티봇 오케스트레이션, 스킬 기반 자동화, QC 파이프라인 등 fireauto의 "AI 팀 에이전트" 개념을 자체 구현하고 있다. **전략: 전체 채택이 아닌 선택적 모듈 차용** 우리에게 없는 것만 빌려온다: 1. 키 관리 자동화 체계 2. 프로젝트 보일러플레이트 타입 시스템 3. SEO 자동 점검 4. 프로젝트 단위 보안 스캔 5. Rate Limiting 표준화 우리가 이미 더 잘 갖춘 것: - 멀티봇 오케스트레이션 (dispatch.py + 3개 팀) - 스킬 기반 자동화 (19개 스킬) - QC 검증 파이프라인 (qc_verify.py + 마아트 독립 검증) - 3문서 시스템 (계획서/맥락노트/체크리스트) - 레드팀 보안 체계 (로키) **실행 순서**: QW-1 → QW-2 → QW-3 → QW-4 → 중기 항목 순차 진행 --- *미팅 종료. 기록자: 오딘 (Odin)*