# task-1299.1 완료 보고서: viruagent-cli 심층 분석 리서치

> 팀: dev4-team | 팀장: 비슈누 | 작성일: 2026-03-31

---

## SCQA

**S**: 우리 마케팅 실행단은 ThreadAuto(Threads 전용)만 보유하고 있으며, 네이버 블로그/티스토리/인스타그램 등 주요 한국 플랫폼의 SNS 자동화 도구가 없어 콘텐츠 발행을 수동으로 처리하고 있다.

**C**: viruagent-cli(v0.9.2)가 7개 플랫폼(네이버 블로그/카페, 티스토리, 인스타그램, Threads, X, Reddit)을 지원하는 AI 에이전트용 CLI로 공개되었으나, 코드 레벨 심층 분석 없이는 ToS 위반 리스크, 보안 취약점, 실제 활용 가능 범위를 판단할 수 없다.

**Q**: viruagent-cli의 플랫폼별 자동화 방식, ToS 리스크, 코드 품질을 분석하여 우리 마케팅 실행단에 안전하게 도입 가능한 범위는 어디까지인가?

**A**: 12,979줄 전체 코드를 분석한 결과, **네이버 블로그(SE 에디터 + RabbitWrite API)와 티스토리(fetch 기반 내부 API)는 ToS 위험 '중'으로 즉시 도입 가능**하다. 반면 인스타그램/Threads/X는 비공식 API 사용으로 ToS 위험 '상'이며 도입 부적합. 보안 이슈 12건(Critical 3건 포함: 세션 평문 저장, 하드코딩 토큰) 확인. 권장: 1단계로 viruagent-cli 직접 사용하여 네이버/티스토리 자동 발행 구축, 2단계로 핵심 코드를 우리 시스템에 포팅.

---

## 작업 내용

### 분석 범위
- GitHub 리포 전체 클론 후 소스 코드 40개 JS 파일, 30+ 스킬 파일, 12개 문서 파일 분석
- 팀원 3명 병렬 투입: 카르티케야(네이버/티스토리/Reddit API), 사라스바티(인스타/Threads/X + 스킬 시스템), 하누만(코드 품질/보안/ToS)

### 분석 결과 요약

**플랫폼별 ToS 위험도**:
- 상(HIGH): Instagram, Threads, X — 비공식 API 스푸핑, 자동화 금지 정책 위반
- 중(MEDIUM): Naver, Tistory — 내부 API 리버스 엔지니어링, 한국 플랫폼 묵인 문화
- 하(LOW): Reddit — OAuth2 공식 API

**보안 이슈 12건**:
- Critical 3건: 세션 평문 저장, X Bearer Token 하드코딩, Meta 앱 ID 공개
- High 4건: httpOnly 쿠키 추출, 비밀번호 메모리 잔존, 평문 비밀번호, vm.runInNewContext()
- Medium 3건, Low 2건

**코드 품질**: 테스트 0건, 린터 없음, TypeScript 미사용, 버그 3건 확인

**활용 권장**: 네이버 블로그 + 티스토리 자동 발행만 도입. 인스타/X/Threads는 사용 금지 권장.

---

## 산출물

- `/home/jay/workspace/memory/research/viruagent-cli-analysis.md` — 심층 분석 보고서 (전체 플랫폼별 API/인증/세션/rate limit/스킬시스템/보안/ToS 분석)
- `/home/jay/workspace/memory/research/viruagent-cli-application.md` — 우리 시스템 적용 제안서 (도입 방식, 시나리오, 위험 완화, 액션 아이템)

---

## 발견 이슈 및 해결

### 범위 외 미해결 (0건)

분석 전용 리서치 작업으로 코드 수정 대상 없음.

---

## 머지 판단

- **머지 필요**: No
- 리서치 작업이므로 코드 변경 없음

---

## 토큰 사용량

| 항목 | 값 |
|------|-----|
| 서브에이전트 | 3명 (카르티케야, 사라스바티, 하누만) |
| 서브에이전트 총 토큰 | ~175,000 |
| 메시지 수 | ~140개 (서브에이전트 합산) |