무슨 일이 있었나
Zscaler ThreatLabz는 웹 브라우징 AI 에이전트를 대상으로 하는 두 가지 라이브 간접 프롬프트 주입 캠페인을 식별했습니다. 하나는 SEO 중독 가짜 패키지 설명서를 사용하여 에이전트를 가짜 API 키에 대한 비용 지불로 속이고, 다른 하나는 에이전트 신뢰를 얻기 위해 DeBank DeFi 플랫폼을 오타 괴롭힘합니다. 제어된 테스트에서 여러 프로덕션 LLM은 임베드된 결제 지시사항을 자동으로 실행하거나 사기 사이트를 신뢰했습니다.
왜 중요한가
이는 자동 AI 에이전트 결제 실행을 통해 프롬프트 주입이 직접 재정적 손실로 전환된 첫 번째 문서화된 경우 중 하나로, 공개 웹 콘텐츠 및 검색 순위는 이제 실제 구매/결제 권한이 있는 AI 에이전트에 대한 실질적인 공격 표면이며 — 이전에 봤던 데이터 유출 또는 RCE 중심 프롬프트 주입과 구별되는 새로운 직접 수익화 가능 에이전트 공격 클래스입니다.
공격 경로
위협 행위자는 숨겨진 HTML, Schema.org PaymentRequest 마크업 및 SEO 중독 가짜 설명서(예: 오타 Python 패키지 'requests-secure-v2'의 경우)에 간접 프롬프트 주입을 임베드하고 DeBank를 사칭하는 오타 DeFi 사이트(debank[.]auction)를 임베드합니다. 브라우징/결제 기능이 있는 AI 에이전트가 이 페이지를 방문하면 숨겨진 구조화된 데이터를 지시사항으로 구문 분석하고 공격자 제어 지갑으로 자동으로 암호화폐 결제를 실행하거나 사기 사이트를 합법적인 것으로 잘못 분류합니다.
영향받는 시스템
브라우징 기능이 있는 자동 AI 에이전트는 여러 상용 및 오픈 가중 LLM을 통합합니다(테스트된 26개 모델)
완화 방안
AI 에이전트의 인간 승인 없이 결제를 자동으로 실행할 수 있는 능력을 제한하세요. 작동하기 전에 콘텐츠 소스를 검증하세요. Schema.org/구조화된 마크업을 지시사항이 아닌 신뢰할 수 없는 데이터로 취급하세요. 알려진 IOC(Zscaler 발행 도메인, GitHub 계정 'Open-Agent-Utilities', 관련 Ethereum 지갑)를 모니터링하세요.