기술 설명
Adversa AI는 SymJack를 공개했으며, 이는 악성 저장소가 무해해 보이도록 이름을 바꾼 위장된 심볼릭 링크를 포함하는 새로운 에이전트 공격 클래스입니다. cp 명령이 에이전트의 구성에 페이로드를 몰래 삽입하여 악성 MCP 서버를 등록합니다. 개발자의 승인 프롬프트는 무해해 보이는 파일 복사 요청만 표시하며 구성 디렉토리나 실행 가능한 내용에 대한 언급이 없습니다. 다음 에이전트 재시작 시, 심어진 서버가 생성되어 사용자로서 샌드박싱되지 않은 공격자 코드를 실행합니다. 이 공격은 Claude Code, Cursor, Gemini CLI(Antigravity CLI), GitHub Copilot CLI, 및 Grok Build CLI에서 확인되었습니다.
공격 경로
공격자가 코딩 에이전트 저장소(또는 종속성 저장소)를 제어합니다. 특별히 제작된 지침 파일에는 에이전트의 MCP 구성 디렉토리로 위장된 심볼릭 링크를 해결하는 cp 명령이 포함되어 있습니다. 개발자가 무해해 보이는 요청을 승인하면 에이전트는 추가 프롬프트 없이 악성 MCP 서버 구성을 설치합니다. CI 파이프라인에서 영향 범위는 러너에 액세스할 수 있는 모든 비밀, 토큰, OIDC 자격 증명으로 확대되므로 추가 사용자 상호 작용 없이 공급망 공격이 가능합니다.
영향받는 시스템
공개 시점에 5가지 주요 AI 코딩 에이전트 CLI가 모두 영향을 받는 것으로 확인됨: Claude Code(Anthropic), Cursor Agent CLI, Gemini CLI / Antigravity CLI(Google), GitHub Copilot CLI, Grok Build CLI(xAI). Anthropic은 이후 Claude Code를 강화하여 승인 프롬프트를 표시하기 전에 심볼릭 링크를 해결했습니다. SecurityWeek 보도 시점에 Cursor, Google, xAI, GitHub는 완전히 완화하지 않았습니다.
완화 방안
Claude Code의 경우: 승인 프롬프트 전에 심볼릭 링크를 해결하는 버전으로 업데이트합니다. 다른 모든 에이전트의 경우: 에이전트가 생성한 지침의 모든 cp 또는 파일 이동 명령을 잠재적으로 위험한 것으로 취급하고 승인 전에 실제 대상 경로를 검사합니다. 조직은 서명된 도구 매니페스트를 요구하고 구성 디렉토리에 대한 에이전트 액세스를 제한해야 합니다. CI 파이프라인은 최소 비밀 액세스로 격리된 환경에서 실행되어야 합니다.