기술 설명
Cisco AI 위협 인텔리전스 연구원 Amy Chang은 2026년 4월 23일에 Cisco 연구원들이 3월에 Anthropic의 Claude Code 메모리 파일을 성공적으로 손상시키고 지속성을 유지하여 AI 코딩 어시스턴트의 모든 프로젝트와 세션을 효과적으로 감염시켰다고 공개했다. 이 공격은 Node Package Manager(NPM)의 post-install hooks를 벡터로 사용하여 Claude Code의 memory.md 파일을 수정했다. Anthropic이 이 문제를 완화했지만, 메모리 파일에 대한 악의적 추가는 감지하기 어렵고 지속적인 컨텍스트가 필요한 agentic 시스템의 근본적인 약점을 나타낸다.
공격 경로
공격자들은 패키지 관리자 post-install hooks(예: NPM postinstall 스크립트)를 악용하여 AI 에이전트의 메모리 파일에 악의적 콘텐츠를 주입한다. 메모리 파일은 세션과 프로젝트 전반에 걸쳐 지속되므로, 단 하나의 성공적인 수정도 에이전트의 컨텍스트 및 의사 결정에 대한 지속적인 백도어 액세스를 제공한다. 메모리 파일 콘텐츠는 일반적으로 사용자가 검토하지 않으며 에이전트에 의해 암묵적으로 신뢰되므로 이 공격은 은폐성이 높다.
영향받는 시스템
지속적인 메모리가 있는 AI 코딩 어시스턴트(Claude Code, 메모리가 있는 GitHub Copilot, 유사한 IDE 통합), memory.md 또는 유사한 컨텍스트 지속성 메커니즘을 사용하는 agentic AI 시스템, 패키지 관리자 hooks에 의존하는 개발자 도구.
완화 방안
Anthropic은 Claude Code에 대한 완화 조치를 구현했다. 일반적인 방어 조치는 다음을 포함한다: 패키지 관리자 hooks에서 의심스러운 파일 수정 스캔, 에이전트 메모리 파일에 대한 무결성 검사 구현, 에이전트 메모리 저장소를 패키지 관리자 실행 컨텍스트와 격리, 예상치 못한 메모리 파일 수정에 대한 알림. AI 보안 공급업체들은 악의적 메모리 주입을 감지하기 위한 전문화된 도구를 개발했다.