기술 설명
저장대학교(Zhejiang University) 연구원들이 자율형 코딩 에이전트를 대상으로 하는 페이로드 없는 공급망 공격인 시맨틱 컴플라이언스 하이재킹(SCH)을 공개했다. 이 공격은 악의적인 목표를 컴플라이언스 규칙으로 형식화된 비정형 자연언어 지시사항으로 변환하여 에이전트가 런타임에 무단 코드를 생성 및 실행하도록 유도한다. SCH는 인식 가능한 코드 페이로드와 추상 구문 트리(Abstract Syntax Tree) 시그니처를 생략하기 때문에 조작된 스킬 파일은 현재 스캐닝 도구에 대해 0.00%의 탐지율을 유지했다.
공격 경로
공격자들은 ClawHub와 같은 마켓플레이스를 통해 배포되는 에이전트 스킬 설명 파일에 필요한 컴플라이언스 규칙으로 위장된 자연언어 지시사항을 삽입한다. 에이전트가 스킬을 로드하면 삽입된 지시사항을 권위 있는 운영 지시문으로 취급하고 동적으로 악성 코드를 합성한다. 이 공격은 세 가지 주류 에이전트 프레임워크(OpenClaw, Claude Code, Codex)와 세 가지 기초 모델에서 기밀성 침해의 경우 77.67%, 원격 코드 실행의 경우 67.33%의 최고 성공률을 달성했다.
영향받는 시스템
OpenClaw, Claude Code, Codex를 포함하여 오픈 마켓플레이스에서 제3자 스킬을 로드하는 AI 에이전트 프레임워크, 그리고 스킬 로딩 아키텍처를 갖춘 유사한 에이전트 시스템들. 이 공격은 SkillScan과 같은 현재의 정적 애플리케이션 보안 테스팅(SAST) 도구 및 스킬 스캐너를 우회한다.
완화 방안
시그니처 기반 스킬 스캔에서 시맨틱 의도 검증으로의 전환. 스킬 소스를 감시하고 스킬 설치를 검증된 저장소로 제한. 실행 전 에이전트가 생성한 코드의 런타임 모니터링 구현. 에이전트 워크로드에 대한 최소 권한 실행 컨텍스트 적용. 에이전트의 시스템 수준 권한(파일 시스템 접근, 셸 명령 실행, 네트워크 연결성) 검토 및 실행 가능한 범위 내에서 샌드박싱 강제 적용.