무슨 일이 있었나
Wiz 연구원들은 6개의 가장 널리 사용되는 AI 코딩 어시스턴트에 영향을 미치는 심볼릭 링크 추종 신뢰 경계 결함을 공개했으며(Wiz 블로그, SC Media/GBHackers/TheHackerNews/Cyber Security News에서 2026-07-08에 보도), 이는 악의적인 저장소가 에이전트를 속여 의도된 작업 영역 외부의 파일을 읽거나 쓸 수 있게 하며, 지속적인 원격 접근을 위해 SSH 키를 심을 수 있습니다.
왜 중요한가
이는 수백만 명의 개발자가 사용하는 6개 주요 AI 코딩 에이전트의 '인간 루프' 안전을 뒷받침하는 신뢰 모델에 영향을 미치는 작동 PoC(SSH 키 이식 시연)를 포함한 새로운 교차 공급업체 에이전트 실행 공격 클래스입니다. 공급업체 대응이 나뉘었습니다. 일부는 패치했고, 일부(Augment, Windsurf)는 수정되지 않았거나 발견에 이의를 제기했으며, AI 어시스턴트로 신뢰할 수 없는 저장소를 복제하고 분석하는 개발자 시스템에 광범위한 피해를 남겼습니다.
공격 경로
악의적인 저장소는 심볼릭 링크를 무해한 파일로 위장합니다(예: project_settings.json이 ~/.ssh/authorized_keys를 가리킴). 개발자가 AI 코딩 어시스턴트에 '작업 영역 설정'을 요청하면, 에이전트는 심볼릭 링크를 따라가 프로젝트 샌드박스 외부의 실제 대상 파일(예: SSH 공개 키)에 공격자 제어 콘텐츠를 씁니다. 사용자에게 표시되는 확인/승인 UI는 해석된 민감한 경로가 아닌 무해한 허위 파일 이름만 표시하므로, 인간 루프 승인은 고무 도장입니다. CWE-61(심볼릭 링크 추종)과 CWE-451(UI 오표현)의 결합입니다.
영향받는 시스템
Amazon Q Developer (AWS용 언어 서버 < 1.69.0), Cursor (< 3.0), Google Antigravity, Anthropic Claude Code, Augment Code, Windsurf
완화 방안
AWS는 AWS용 언어 서버 1.69.0(CVE-2026-12958, CVSS 7.8)을 통해 패치했습니다. Cursor는 v3.0에서 패치했습니다(CVE-2026-50549, CVSS 9.8, GHSA-3v8f-48vw-3mjx). Google은 2026년 5월에 Antigravity를 수정했습니다(CVE 대기 중). Anthropic은 Claude Code v2.1.32에 심볼릭 링크 경고를 추가했습니다. Augment Code는 이것이 취약점이 아니라고 주장하며 패치하지 않았습니다. Windsurf의 수정은 대기 중입니다. 권장 완화 조치: 확인 프롬프트를 표시하기 전에 정규 경로를 해석하고, 작업이 작업 영역 외부의 위치를 대상으로 할 때 경고하며, 심볼릭 링크 생성/민감한 파일 수정을 모니터링합니다.