무슨 일이 있었나
Microsoft의 Defender Security Research Team은 6월 5일 Anthropic의 Claude Code GitHub Actions의 권한 모델 우회에 대한 분석을 발표했으며, 이는 쓰기 액세스 권한이 없는 외부 기여자가 GitHub App 신뢰 우회를 통해 워크플로우를 트리거할 수 있게 했습니다(모든 GitHub App 액터가 실제 권한에 관계없이 무조건적으로 신뢰됨). Flatt Security 연구원 RyotaK는 6월 1일 악의적인 GitHub 이슈를 통해 신뢰할 수 없는 입력을 워크플로우에 제공할 수 있다고 독립적으로 공개했으며, 이는 이를 사용하는 모든 저장소(Anthropic의 자체 저장소 포함)에 코드를 주입할 가능성이 있습니다. Anthropic은 Claude Code GitHub Actions v1.0.94에서 문제를 패치했습니다.
왜 중요한가
이는 CI/CD 파이프라인에 포함된 AI 코딩 에이전트가 파이프라인 자체의 영향 범위를 상속한다는 것을 보여줍니다. 손상된 Claude Code GitHub Action은 코드, 이슈, PR, 토론 및 워크플로우 파일에 대한 읽기/쓰기 액세스 권한을 가지고 있었으므로 단일 우회로 인해 악의적인 코드가 모든 다운스트림 저장소로 전파될 수 있습니다. 기업들이 CI/CD에서 AI 코딩 에이전트를 빠르게 채택함에 따라 이 패턴(권한이 있는 에이전트 + 신뢰할 수 없는 입력 채널을 통한 간접 프롬프트 주입)은 이제 실제로 악용된 공격 클래스입니다.
필요한 조치
Claude Code GitHub Actions을 사용하는 모든 팀은 즉시 v1.0.94 이상으로 업그레이드해야 하고, allowed_non_write_users 설정을 검토하고 CI/CD 권한의 예상치 못한 GitHub App 액터를 감사하며, CI/CD 파이프라인의 AI 에이전트 권한을 암호와 동일한 민감도로 취급하고 동일한 최소 권한, 감사 로그가 기록된 액세스 패턴을 배포해야 합니다.