무슨 일이 있었나
Virginia Tech, AI Security Company London, University of Texas의 연구원들이 'GitInject' (arXiv 2606.09935, 2026년 6월 7일 제출)를 발표했습니다 — 실시간 GitHub 저장소를 프로비저닝하고 실제 CI/CD 워크플로우 실행을 트리거하여 프롬프트 인젝션을 평가하는 오픈소스 프레임워크입니다. Claude Code Action, Codex Action, Gemini CLI Action을 4개 AI 제공자에 걸쳐 테스트한 결과, 설정 파일 인젝션, 자격증명 유출, 판단 조작, 가용성 공격을 포함한 11가지 명명된 공격을 문서화했으며, 모든 제공자가 기본 구성에서 적어도 하나의 공격 클래스에 취약한 것으로 나타났습니다.
왜 중요한가
이 연구는 AI CI/CD 에이전트가 '치명적 트리오'(개인 데이터에 대한 접근, 신뢰할 수 없는 콘텐츠 수집, 외부 통신)로 작동하며, 공격자가 PR 브랜치에 CLAUDE.md 또는 AGENTS.md를 추가하는 설정 파일 인젝션이 가장 위험한 벡터임을 보여줍니다. 에이전트는 이를 PR 콘텐츠 전에 권위 있는 운영자 수준의 명령으로 로드하기 때문입니다. 이는 AI CI/CD 보안에 대한 최초의 체계적인 실제 환경(시뮬레이션이 아닌) 연구로, 최소 비용의 대응 조치를 확립하고 방어자를 위한 재사용 가능한 도구를 제공합니다.
필요한 조치
보안 팀은 자신의 AI 기반 CI/CD 워크플로우에 대해 즉시 GitInject를 실행해야 하며, 최소한 CLAUDE.md/AGENTS.md 파일을 로드할 수 있는 브랜치를 제한하고 포크 기여자의 PR 이벤트에 대해 읽기 전용 GITHUB_TOKEN 권한을 적용해야 합니다.