무슨 일이 있었나
Zscaler ThreatLabz(약 2026년 7월 3일 발행, Threat-Modeling.com의 7월 4일 취약점 인텔리전스 보고서에서 다룸)는 AI 에이전트가 사람이 볼 수 있는 콘텐츠와 숨겨진 DOM 콘텐츠를 구분하지 못하는 것을 악용하는 두 가지 실제 캠페인을 공개했습니다: 에이전트에게 가짜 라이선스 비용을 지불하도록 지시하는 가짜 Python 라이브러리(requests-secure-v2) 문서 페이지, 그리고 JSON-LD/Open Graph 조작을 사용하여 에이전트가 권위 있는 소스로 취급하도록 하는 타이포스쿼트된 DeBank 클론(debank[.]auction). 테스트 결과 모델에 따라 취약성이 달라졌으며 일부 모델은 사기성 결제를 완료했습니다.
왜 중요한가
이것은 거의 모든 에이전트형 AI를 기반으로 하는 신뢰 모델에 대한 입증된 실제 공격 경로입니다(이론적이 아님): 개방형 웹을 크롤링하는 모든 AI 코딩 어시스턴트, 연구 에이전트 또는 브라우저 자동화 도구는 단순히 포이즈닝된 주제를 조사하면서 노출되며, 악성코드나 자격증명 탈취가 필요하지 않습니다 — 전체 웹이 공격 표면이 됩니다.
공격 경로
공격자는 SEO 최적화된 가짜 문서/DeFi 사이트를 구축하고 숨겨진 DOM 노드(CSS display:none/오프스크린 위치 지정, JSON-LD 구조화된 메타데이터, HTML 주석, alt-text)에 간접 프롬프트 인젝션 페이로드를 포함시킵니다. AI 에이전트가 정당한 연구나 문제 해결을 수행하면서 페이지를 스크래핑할 때, 숨겨진 지시사항을 신뢰할 수 있는 컨텍스트로 섭취하고 실행합니다 — 예: Stripe를 통한 가짜 라이선스 비용 지불 또는 하드코딩된 암호화폐 지갑 주소로 지불, 또는 타이포스쿼트된 DeFi 사이트를 권위 있는 것으로 취급(RAG 포이즈닝).
영향받는 시스템
AI 코딩 어시스턴트, 브라우저 자동화 에이전트, 연구 에이전트(모델 비종속 — GPT-5.4, Claude Sonnet 4.5 클래스 모델에 대해 입증됨)
완화 방안
에이전트 수집 전에 숨겨진 DOM 노드를 제거합니다; 에이전트가 시작한 결제, 자격증명 제출 또는 되돌릴 수 없는 작업에 대해 인간 승인 게이트를 적용합니다; 에이전트 웹 검색을 위해 신뢰할 수 있는 소스 허용 목록 및 구조화된 메타데이터 검증을 사용합니다; OWASP LLM01에 따라 간접 프롬프트 인젝션에 대해 에이전트를 대적적으로 테스트합니다.