무슨 일이 있었나
Adversa AI가 2026년 6월 30일에 GuardFall을 공개했습니다. 이는 10개의 인기 있는 오픈소스 AI 코딩 및 컴퓨터 사용 에이전트에 영향을 미치는 셸 가드 우회의 구조적 클래스입니다. 근본 원인은 에이전트가 원본 명령 텍스트를 검증하는 동안 bash가 나중에 확장 및 치환을 통해 이를 다시 작성하여 정규식 기반 차단 목록이 효과적이지 않다는 것입니다. SecurityWeek과 The Hacker News는 모두 2026년 6월 30일-7월 1일에 이 공개를 보도했습니다. 엔드-투-엔드 악용은 Plandex에 대해 시연되었습니다. 현재까지 실제 악용은 보고되지 않았지만 아직 CVE가 할당되지 않았습니다.
왜 중요한가
AI 코딩 에이전트는 개발자의 전체 계정 권한으로 실행됩니다. 단일 중독된 저장소 파일(README, Makefile, MCP 응답 또는 패키지 메타데이터)이 취약한 에이전트를 복제하고 실행하는 모든 개발자로부터 SSH 키와 클라우드 자격증명을 조용히 유출할 수 있습니다. 11개의 주요 도구 중 10개가 영향을 받고 수백만 명의 개발자가 AI 코딩 에이전트를 채택하고 있으므로 공급망 영향 범위가 엄청납니다.
공격 경로
에이전트는 원본 명령 문자열을 안전 차단 목록에 대해 검사한 후 bash에 명령을 전달합니다. Bash는 따옴표 제거, $IFS 확장, 명령 치환 및 인코딩된 파이프라인을 통해 문자열을 다시 작성합니다. 이는 에이전트의 안전 검사에서 절대 고려되지 않은 오래된 셸 기법입니다. Adversa AI(GuardFall 공개, 2026년 6월 30일)는 프로덕션 Plandex 바이너리에 대한 엔드-투-엔드 악용을 시연했습니다. 저장소 파일의 중독된 콘텐츠가 에이전트가 SSH 키, 클라우드 자격증명 및 $HOME 파일을 유출하는 난독화된 명령을 내보내도록 트리거합니다.
영향받는 시스템
Hermes, opencode, Goose, Cline, Roo-Code, Aider, Plandex, Open Interpreter, OpenHands, SWE-agent (조사된 11개 중 10개); Continue는 유일하게 상당히 완화된 에이전트입니다.
완화 방안
영향을 받은 에이전트에서 자동 실행 기능을 비활성화하고, $HOME을 격리하거나 리다이렉트하며, 포크된 풀 요청에서 에이전트 실행을 피하고, 저장소 배송 구성을 감사하고, 정규식/원본 문자열 차단 목록보다는 토큰화-정규화 명령 강제(구조적 구문 분석)를 채택하세요. Adversa AI 블로그 및 개별 에이전트 변경 로그에서 패치를 모니터링하세요: https://adversa.ai/blog/opensource-ai-coding-agents-shell-injection-vulnerability