기술 설명
Forcepoint의 선임 보안 연구원 Mayur Sewani는 2026년 4월 22일에 금융 사기, 데이터 파괴, API 키 탈취, 시스템 손상을 목표로 하는 악성 명령어를 포함한 AI 에이전트를 대상으로 한 10개의 간접 프롬프트 주입(IPI) 페이로드를 식별하는 연구를 발표했습니다. 한 페이로드는 LLM 기반 코딩 어시스턴트 또는 셸 액세스 권한이 있는 에이전틱 AI를 강제하여 파일 및 디렉토리의 재귀적 강제 삭제를 위한 Unix 명령어를 실행하도록 시도합니다. 연구원들은 IDE, 터미널 환경, 개발자 도구에 통합된 AI 어시스턴트에서 공격 표면이 가장 높다고 강조했습니다.
공격 경로
간접 프롬프트 주입 공격은 AI 에이전트가 수집하는 외부 콘텐츠(문서, 웹 페이지, 코드 저장소)에 악성 명령어를 포함시킵니다. 에이전트가 콘텐츠를 처리할 때, 주입된 프롬프트는 합법적인 사용자 명령어를 재정의하여 에이전트가 승인되지 않은 작업을 실행하게 합니다. 공개된 페이로드는 도구 사용 기능이 있는 에이전틱 워크플로우, 특히 셸 액세스 또는 파일 시스템 권한이 있는 것들을 대상으로 합니다.
영향받는 시스템
AI 코딩 어시스턴트, 개발자 도구, 셸 액세스 권한이 있는 에이전틱 AI, LLM 기반 터미널 통합, 그리고 외부 문서 또는 웹 콘텐츠를 읽고 시스템 명령어를 실행할 수 있는 모든 AI 에이전트.
완화 방안
에이전트 수집 전에 모든 외부 콘텐츠에 대한 엄격한 입력 검증을 구현합니다. 에이전트 역할당 필요한 최소 수준으로 도구 및 데이터 액세스를 제한합니다. 높은 위험의 작업(파일 삭제, 시스템 명령어, API 키 액세스)에 대한 인간 개입 승인을 적용합니다. 비정상적인 에이전트 동작, 특히 권한 상승 또는 예상치 못한 도구 호출에 대한 모니터링을 배포합니다. 에이전트 실행 환경을 프로덕션 시스템과 분리합니다.