취약점  ·  2026-07-06

SEO 포이즈닝 및 숨겨진 HTML 프롬프트 인젝션을 통한 AI 에이전트 포이즈닝 — 에이전트가 사기성 암호화폐 결제로 속음

취약점High 영향도Global
Zscaler ThreatLabz(약 2026년 7월 3일 발행, Threat-Modeling.com의 7월 4일 취약점 인텔리전스 보고서에서 다룸)는 AI 에이전트가 사람이 볼 수 있는 콘텐츠와 숨겨진 DOM 콘텐츠를 구분하지 못하는 것을 악용하는 두 가지 실제 캠페인을 공개했습니다: 에이전트에게 가짜 라이선스 비용을 지불하도록 지시하는 가짜 Python 라이브러리(requests-secure-v2) 문서 페이지, 그리고 JSON-LD/Open Graph 조작을 사용하여 에이전트가 권위 있는 소스로 취급하도록 하는 타이포스쿼트된 DeBank 클론(debank[.]auction). 테스트 결과 모델에 따라 취약성이 달라졌으며 일부 모델은 사기성 결제를 완료했습니다.
이것은 거의 모든 에이전트형 AI를 기반으로 하는 신뢰 모델에 대한 입증된 실제 공격 경로입니다(이론적이 아님): 개방형 웹을 크롤링하는 모든 AI 코딩 어시스턴트, 연구 에이전트 또는 브라우저 자동화 도구는 단순히 포이즈닝된 주제를 조사하면서 노출되며, 악성코드나 자격증명 탈취가 필요하지 않습니다 — 전체 웹이 공격 표면이 됩니다.
공격자는 SEO 최적화된 가짜 문서/DeFi 사이트를 구축하고 숨겨진 DOM 노드(CSS display:none/오프스크린 위치 지정, JSON-LD 구조화된 메타데이터, HTML 주석, alt-text)에 간접 프롬프트 인젝션 페이로드를 포함시킵니다. AI 에이전트가 정당한 연구나 문제 해결을 수행하면서 페이지를 스크래핑할 때, 숨겨진 지시사항을 신뢰할 수 있는 컨텍스트로 섭취하고 실행합니다 — 예: Stripe를 통한 가짜 라이선스 비용 지불 또는 하드코딩된 암호화폐 지갑 주소로 지불, 또는 타이포스쿼트된 DeFi 사이트를 권위 있는 것으로 취급(RAG 포이즈닝).
AI 코딩 어시스턴트, 브라우저 자동화 에이전트, 연구 에이전트(모델 비종속 — GPT-5.4, Claude Sonnet 4.5 클래스 모델에 대해 입증됨)
에이전트 수집 전에 숨겨진 DOM 노드를 제거합니다; 에이전트가 시작한 결제, 자격증명 제출 또는 되돌릴 수 없는 작업에 대해 인간 승인 게이트를 적용합니다; 에이전트 웹 검색을 위해 신뢰할 수 있는 소스 허용 목록 및 구조화된 메타데이터 검증을 사용합니다; OWASP LLM01에 따라 간접 프롬프트 인젝션에 대해 에이전트를 대적적으로 테스트합니다.
Threat-Modeling.com — AI Agent Poisoning via SEO and Hidden HTMLCybersecurityNews — Hackers Abuse SEO Poisoning and Hidden HTMLZscaler ThreatLabz research
라이브 피드에서 보기 AI 보안 및 거버넌스 관련 소식을 더 살펴보세요 — 매일 아침 업데이트.
피드 열기 →