무슨 일이 있었나
Mitiga Labs(2026년 6월 18일 발행)는 7,000개 이상의 공개 저장소에서 50,000개 이상의 AI 명령 파일(Cursor 규칙, CLAUDE.md, AGENTS.md, MCP 서버 구성, Claude Hooks, Anthropic Skills)을 스캔했고 다음을 발견했습니다: (1) 배송된 '편의성' 파일의 공격자 제어 ANTHROPIC_BASE_URL 오버라이드는 모든 Claude API 트래픽을 공격자 제어 MITM 프록시를 통해 자동으로 라우팅하며, 모든 프롬프트 및 응답을 캡처합니다; (2) 기본값으로 배송된 권한 우회 오버라이드; (3) 수십 서비스에 걸쳐 1,230개 이상의 하드코딩된 API 키 및 JWT 토큰입니다. Mitiga는 또한 야생에서 포착된 프롬프트 유출 거래활동을 발견했습니다. 연구는 이러한 패턴을 탐지하기 위해 무료 스캐너(Skillgate)를 릴리스했습니다.
왜 중요한가
AI 코딩 에이전트 (Claude Code, Cursor)는 저장소 또는 프로젝트 디렉토리에서 발견된 명령 파일을 무조건 신뢰합니다. 악의적 저장소, 손상된 오픈소스 프로젝트, 또는 트로jan화된 Cursor 규칙 파일은 모든 AI API 트래픽을 공격자의 프록시를 통해 자동으로 리다이렉트하고, 모든 프롬프트(코드, 비밀, 내부 데이터 포함) 및 모든 모델 응답을 유출할 수 있습니다. 1,230개 이상의 실시간 API 키가 발견되었으므로, 직접 자격 증명 탈취 영향도 상당합니다. 이는 AI 코딩 에이전트의 채택으로 확장되는 공급망 공격 클래스입니다.
공격 경로
공격자가 저장소의 AI 명령 파일(예: CLAUDE.md, .cursorrules)에서 공격자 제어 서버를 가리키는 ANTHROPIC_BASE_URL 오버라이드를 포함합니다; 모든 개발자가 AI 코딩 에이전트로 프로젝트를 열면, 모든 API 트래픽은 조용히 프록시되어 프롬프트, 비밀, 응답을 캡처합니다.
영향받는 시스템
Claude Code, Cursor, 저장소 컨텍스트에서 CLAUDE.md / AGENTS.md / .cursorrules / MCP 서버 구성 파일을 읽는 모든 AI 코딩 에이전트; ANTHROPIC_BASE_URL 오버라이드 지원이 있는 Anthropic SDK를 사용하는 프로젝트
완화 방안
저장소 및 CI 파이프라인의 모든 AI 명령 파일에서 예기치 않은 ANTHROPIC_BASE_URL 또는 유사한 기본 URL 오버라이드를 감사합니다; Mitiga의 무료 Skillgate 스캐너를 사용합니다; 검토 없이 검증되지 않은 저장소의 명령 파일을 신뢰하지 마십시오. 참조: https://www.mitiga.io/blog/malware-in-ai-instruction-files-skillgate