무슨 일이 있었나
Adversa AI는 2026-06-30에 'GuardFall'을 공개했습니다 (SecurityWeek 보도가 그 날짜를 확인함): 오픈소스 AI 코딩 에이전트의 구조적 결함으로 수십 년 된 Bash 트릭 — 인용 제거, $IFS 조작 및 유사한 셸 메타문자 기법 — 이 에이전트의 입력 살균 보호를 우회합니다. 저장소에 포함된 악의적인 Bash 명령어 (예: Makefile, .env 파일 또는 README에서)는 에이전트에 의해 수집되고 개발자의 전체 계정 권한으로 셸 실행으로 전달됩니다. 테스트된 11개 에이전트 중 10개 (Hermes, OpenCode, Roo-code 포함)는 최소 하나의 Bash 트릭에 실패했습니다. 단 하나의 에이전트만 모든 테스트된 기법을 차단했습니다.
왜 중요한가
AI 코딩 에이전트는 일상적으로 개발자 수준의 파일시스템 및 셸 액세스로 실행됩니다. 세심하게 작성된 셸 페이로드를 포함하는 악의적인 저장소는 에이전트가 처리할 때 자동으로 임의의 코드를 실행할 수 있습니다 — 모든 신뢰할 수 없는 저장소를 잠재적 공급망 공격 벡터로 만듭니다. 이러한 에이전트가 CI/CD 파이프라인에서도 사용되므로 영향 범위는 자동화된 빌드 및 배포 인프라로 확장됩니다.
공격 경로
공격자는 인용 제거, $IFS 간격 또는 기타 셸 확장 트릭을 사용하여 세심하게 작성된 Bash 페이로드를 저장소 파일에 삽입합니다. AI 코딩 에이전트가 저장소를 처리할 때 페이로드는 에이전트의 허용 목록/거부 목록 보호를 우회하고 운영자의 권한으로 에이전트의 셸 컨텍스트에서 실행됩니다.
영향받는 시스템
Adversa AI에서 테스트한 여러 오픈소스 AI 코딩 에이전트 (Hermes, OpenCode, Roo-code 및 8개 기타) — 2026-06-30 현재 버전; 단 1개만 모든 테스트 통과
완화 방안
영향을 받은 각 에이전트에 대한 공급업체별 패치를 확인하십시오. 에이전트 실행 환경에서 최소 권한 원칙을 적용하십시오. 가능한 경우 네트워크 및 파일시스템에서 에이전트를 샌드박싱하십시오. 에이전트 프로세스에서 예상치 못한 셸 생성을 모니터링하십시오.