무슨 일이 있었나
텔아비브 대학교, 테크니온, 인튜잇의 연구원들이 '에이전틱 봇넷을 주의하세요'를 발표했으며, 적대적 환각 스쿼팅을 소개했습니다: 공격자는 LLM이 트렌딩 리소스를 가져올 때 환각할 가능성이 가장 높은 존재하지 않는 패키지/저장소/스킬 이름을 예측하고, 미리 해당 이름을 악성 페이로드로 등록한 후 AI 코딩 에이전트가 자동으로 가져와서 실행할 때까지 기다립니다. 이 기술은 85%(기존 저장소) 및 92.4%(학습 후 저장소/스킬) 환각률을 달성했으며 Cursor, Cursor CLI, Windsurf, GitHub Copilot, Cline, Gemini CLI, OpenClaw, ZeroClaw, NanoClaw에 대한 원격 도구 실행 및 RCE를 달성하는 것으로 나타났습니다.
왜 중요한가
이전의 프롬프트 주입과 달리, 이 프롬프트는 공격자 제어 푸시 채널(이메일, 캘린더 초대)이 필요하여 규모를 제한하지만, 이것은 풀 기반, 상호작용 없음, 타겟팅 없음 공격입니다 — 자동 파일 가져오기 및 실행 기능이 있는 모든 개발자의 에이전트가 자동으로 단일 악성 패키지를 가져올 수 있으며, 피싱 클릭, 자격증명 입력 또는 사용자 기만이 필요하지 않습니다. 환각 패턴(특히 자기참조 소유자/저장소 이름 지정)이 GPT-5.1/5.2, Claude Sonnet-4.5/Opus-4.5, Gemini-2.5에서 일관되기 때문에 거의 모든 주요 AI 코딩 어시스턴트에 동시에 영향을 미치므로, 단일 벤더 버그가 아니라 구조적, 교차 벤더 아키텍처 결함입니다.
공격 경로
공격자가 인기 있는 플랫폼(GitHub 등)에서 LLM 환각 분포 분석을 통해 예측된 환각 패키지/저장소/스킬 이름을 등록하고 악성 설치/실행 스크립트를 포함합니다. AI 코딩 에이전트는 개발자가 트렌딩 리소스를 복제하거나 설치하도록 요청할 때 중독된 리소스를 자동으로 가져와서 실행합니다.
영향받는 시스템
Cursor, Cursor CLI, Windsurf, GitHub Copilot, Cline, Gemini CLI, OpenClaw, ZeroClaw, NanoClaw (자동 가져오기/실행 도구 액세스가 있는 AI 코딩 에이전트)
완화 방안
신뢰할 수 없는 코드 가져오기에 대한 자동/자동 승인 실행 모드를 비활성화합니다. 권한 있는 레지스트리에 대한 패키지/저장소 허용 목록을 구현합니다. 설치 전에 AI 제안 종속성을 수동으로 확인합니다. 사용 가능한 단일 패치 없음 — 벤더는 공개 전 알림을 받았습니다.