무슨 일이 있었나
워싱턴 대학교의 연구자들은 2026-06-30에 7개의 인기 있는 에이전틱 AI 브라우저 (ChatGPT Atlas, Claude, Comet 및 기타 포함)를 조사한 연구를 발표했습니다. 그들은 7개 중 4개가 동일 출처 정책 — 웹사이트가 서로의 데이터에 액세스하는 것을 방지하는 기본 웹 보안 프로토콜 — 을 우회할 수 있다는 것을 발견했습니다. 연구자들은 iframe에 포함된 악의적인 웹사이트 (예: 이메일 페이지의 광고)가 프롬프트 주입을 사용하여 에이전트가 다른 열린 탭에서 민감한 데이터 (GitHub SSH 자격증명 포함)를 복사하도록 하는 성공적인 PoC 공격을 시연했습니다. BioShocking 기법 (이전에 다룬)은 7개 에이전트 중 6개에서 작동하는 공격 벡터로 확인되었습니다.
왜 중요한가
에이전틱 브라우저는 자율 멀티탭 브라우징을 인증된 세션 (이메일, GitHub, 뱅킹, 클라우드 콘솔)에 대한 액세스와 결합합니다. 프롬프트 주입을 통한 동일 출처 정책 우회는 에이전트가 방문하는 악의적인 웹사이트가 에이전트가 열어둔 다른 모든 탭의 자격증명 또는 데이터를 자동으로 탈취할 수 있게 합니다 — 악성코드 없이, 기존 악용 없이, 단지 주입된 자연어 명령어로. 이는 새로운 빠르게 성장하는 AI 배포 클래스의 근본적인 보안 경계 실패를 나타냅니다.
공격 경로
공격자는 포함된 프롬프트 주입 콘텐츠 (예: 광고 iframe 또는 포함된 콘텐츠에서)를 포함하는 악의적인 웹 페이지를 호스팅합니다. 에이전틱 브라우저가 다른 탭에서 인증된 세션을 열어둔 상태로 페이지를 방문할 때 주입된 프롬프트는 에이전트에게 그 다른 세션에서 데이터를 읽고 유출하도록 지시하며, 에이전트의 크로스탭 작업 기능을 통해 동일 출처 정책을 우회합니다.
영향받는 시스템
ChatGPT Atlas, Claude 브라우저 에이전트, Comet 및 4개 기타 테스트된 에이전트를 포함한 에이전틱 AI 브라우저 (총 7개 테스트됨, 4개 SOP 우회 취약점 확인) — 2026-06-30 현재 버전
완화 방안
에이전트가 민감한 인증된 브라우저 세션에 액세스하는 것을 제한하십시오. 공급업체가 SOP 격리를 패치할 때까지 같은 세션 컨텍스트에서 권한이 있는 자격증명으로 에이전틱 브라우저를 사용하지 마십시오. 에이전트 메모리에서 중독된 입력을 모니터링하십시오. 영향을 받은 각 제품에 대한 공급업체 보안 권고사항을 확인하십시오.