기술 설명
보안 연구원들이 GitHub Actions와 통합된 AI 코딩 에이전트를 탈취하는 프롬프트 인젝션 공격 클래스('Comment and Control'로 명명됨)를 공개했습니다. PR 제목, 이슈 본문 또는 이슈 댓글(렌더링된 마크다운에서 보이지 않는 숨겨진 HTML 댓글 포함)에 악성 지시사항을 포함시켜 공격자들은 AI 에이전트를 리디렉션하여 API 키와 액세스 토큰을 유출할 수 있습니다. 세 가지 주요 AI 코딩 에이전트 — Anthropic의 Claude Code Security Review, Google의 Gemini CLI Action, Microsoft의 GitHub Copilot — 모두 취약성이 확인되었습니다. 버그 바운티는 지급되었으나($100 by Anthropic, $1,337 by Google) 어떤 벤더도 CVE를 할당하거나 공개 보안 권고사항을 발행하지 않았으므로, 사용자들은 인식하지 못한 채 취약한 버전으로 고정되어 있습니다.
공격 경로
GitHub 리포지토리에 대한 쓰기 액세스 권한이 있는 공격자(또는 PR을 제출할 수 있는 공격자)는 PR 제목, 이슈 본문 또는 보이지 않는 HTML 댓글에 프롬프트 인젝션 페이로드를 포함시킵니다. AI 코딩 에이전트가 자동화된 워크플로우의 일부로 리포지토리 콘텐츠를 처리할 때, 주입된 지시사항을 해석하고 비밀정보(API 키, 액세스 토큰)를 공개 이슈 댓글이나 외부 엔드포인트와 같은 공격자 제어 위치로 유출합니다.
영향받는 시스템
Anthropic Claude Code Security Review(GitHub Action), Google Gemini CLI Action, Microsoft GitHub Copilot Agent — 모두 GitHub Actions 자동화된 워크플로우에서 작동할 때
완화 방안
AI 에이전트 워크플로우 트리거를 신뢰할 수 있는 기여자로만 제한합니다. GitHub Actions 워크플로우에서 AI 에이전트 통합을 감사하고 해당 러너가 접근할 수 있는 비밀정보를 검토합니다. 자동화된 액터에 의한 이상 이슈 댓글 생성을 모니터링합니다. 공식 패치나 권고사항이 발행될 때까지 공개 또는 기여자 접근 가능 리포지토리에서 자동화된 AI 코드 검토 트리거를 비활성화하는 것을 고려합니다. 각 벤더의 변경 로그 및 보안 문서 페이지에서 업데이트를 확인합니다.