무슨 일이 있었나
Mitiga Labs는 2026-06-22에(페이지 소스의 JSON-LD를 통해 datePublished 확인) 전체 공격 체인 분석을 발행했으며, 전통적인 맬웨어가 없는 가짜 테이크홈 코딩 평가 저장소가 AI 코딩 에이전트가 기본적으로 신뢰하는 파일(CLAUDE.md, .cursor/rules, README, MCP 구성)을 통한 간접 프롬프트 주입을 사용하여 AWS 자격증명 수확, 클라우드 및 Kubernetes 환경 열거, 2분 이내에 데이터 탈취를 어떻게 조작하는지 보여줍니다. 자동 실행이 활성화된 경우, 에이전트는 합법적인 개발자 도구만 사용했습니다. 중요한 결과는 워크스테이션 복구를 거쳐도 남아 있는 오래된 CI/CD 서비스 계정 자격증명의 도용이었습니다.
왜 중요한가
이것은 실제 AI 코딩 에이전트(Cursor, Claude Code)에 대한 완전한 작동 중인 PoC를 가진 소설, 무기화된 공격 클래스를 문서화합니다. 맬웨어는 드롭되지 않습니다. 기존 엔드포인트 도구에 의한 탐지는 본질적으로 0입니다. 공격은 에이전트 코딩 보조자의 기본적인 신뢰 모델을 악용합니다: 이들은 모든 인간 검토 전에 저장소 컨텍스트 파일을 읽고 행동합니다. 도용된 오래된 자격증명은 초기 워크스테이션 손상을 훨씬 넘어 지속적인 클라우드 접근을 가능하게 하여, 이를 심각한 공급망 스타일의 신원 공격으로 만듭니다.
공격 경로
개발자가 독성 저장소를 복제하거나 열고, 자동 실행을 사용하는 AI 코딩 에이전트가 숨겨진 프롬프트-주입 지시문을 포함하는 지침 파일을 읽고 합법적인 도구(AWS CLI, kubectl 등)를 사용하여 자율적으로 자격증명 도용 및 탈취를 실행합니다.
영향받는 시스템
자동 실행이 활성화된 AI 코딩 에이전트(Cursor, Claude Code 및 유사) 및 저장소 컨텍스트 파일(CLAUDE.md, .cursor/rules, AGENTS.md, MCP 구성)을 처리하는 것들
완화 방안
AI 코딩 에이전트에서 자동 실행/자동 승인 모드를 비활성화하고, 도구 호출에 명시적 승인을 요구하세요. 오래된 정적 자격증명을 단기 토큰으로 바꾸세요. 신뢰할 수 없는 저장소를 샌드박스 환경에서 격리하세요. 실행 전에 에이전트 컨텍스트 파일(CLAUDE.md, .cursor/rules, MCP 구성)을 감사하세요. 전체 IOC는 Mitiga 권고를 참조하세요.