무슨 일이 있었나
Eclipse Theia 1.71.0 이전 버전 (CVSS 8.4 HIGH, NVD 발행 2026년 6월 18일)에서 AI 채팅 에이전트는 워크스페이스 파일 및 디렉토리 이름을 시스템 지침과 구별하지 않고 프롬프트 컨텍스트의 일부로 처리했습니다. 공격자는 악의적인 디렉토리 또는 파일 이름을 포함한 악성 저장소를 작성할 수 있으며, 해당 저장소가 Theia AI 에이전트에 의해 열리고 분석될 때 공격자가 제어하는 지침이 모델의 컨텍스트에 주입됩니다 — 파일시스템을 통한 전형적인 간접 프롬프트 주입입니다.
왜 중요한가
이는 저장소 기반 프롬프트 주입 공격입니다: 개발자가 악성 저장소를 복제하고 Theia에서 열면 AI 에이전트의 시스템 프롬프트가 악의적인 파일명으로 조용히 오염됩니다. 그러면 에이전트는 개발자에게 눈에 띄는 경고 없이 코드를 유출하거나, 악의적인 도구 호출을 실행하거나, 오도하는 지침을 제공할 수 있습니다. Theia의 AI 도구 호출 기능과 결합하면 코드 실행이나 데이터 유출을 달성할 수 있습니다.
공격 경로
공격자는 프롬프트 주입 페이로드를 포함하는 파일 또는 디렉토리 이름으로 저장소를 작성합니다. 개발자가 Eclipse Theia에서 저장소를 열고 AI 채팅 에이전트를 사용할 때 (이는 워크스페이스 파일 이름을 컨텍스트에 포함함), 주입된 지침은 신뢰할 수 있는 시스템 지침으로 처리됩니다.
영향받는 시스템
Eclipse Theia < 1.71.0
완화 방안
Eclipse Theia 1.71.0 이상으로 업그레이드하십시오. CVE 할당 참조: https://gitlab.eclipse.org/security/cve-assignment/-/work_items/113