무슨 일이 있었나
보안 회사 AIR은 2026년 6월 24일 의도적으로 악의적인 AI 에이전트 스킬('brand-landingpage')이 Cisco, Nvidia 및 skills.sh의 보안 스캐너를 통과했으며 인기 있는 오픈소스 에이전트-스킬 리포지토리(GitHub 36,000 스타)에 병합되었음을 시연하는 연구를 발표했습니다. 이 스킬은 에이전트에 공격자가 제어하는 도메인(Google의 stitch.withgoogle.com을 모방한 stitch-design.ai)에서 설치 지침을 가져오도록 지시했습니다. 도메인은 처음에 정상적인 사이트로 리디렉션되어 정적 검토를 통과했으며, 약 26,000개 에이전트(기업 계정 포함)에 배포된 후 AIR은 도메인 뒤의 페이로드를 변경하여 실행 중인 에이전트의 호스트에서 스크립트를 실행했습니다. 테스트의 스크립트는 이메일 주소만 수집했지만 AIR은 동일한 기술이 에이전트를 실행하는 머신을 완전히 손상시킬 수 있음을 확인했습니다.
왜 중요한가
이 라이브 실험은 현재 AI 에이전트 스킬 검증의 체계적 맹점을 증명합니다. 스캐너는 검토 시 패키지된 파일을 분석하지만 승인 후 스킬에서 참조하는 변경 가능한 외부 URL을 통해 이루어진 페이로드 변경을 감지할 수 없습니다. 에이전트를 외부 리소스로 지시하는 모든 스킬은 신뢰가 부여된 후 무기화될 수 있습니다. 기업 계정이 26,000개 영향받는 에이전트 중에 있었으며, 이는 엔터프라이즈 AI 워크플로우가 공격 범위 내에 있었음을 의미합니다. 이는 새로운 AI 에이전트 스킬 생태계에 특화된 공급망 공격 클래스입니다.
공격 경로
공격자가 신뢰할 수 있는 리포지토리에 양호한 것으로 보이는 스킬을 제출합니다. 악의적 페이로드가 초기에 정상적으로 리디렉션되는 외부 도메인에 호스팅되어 있기 때문에 스킬이 정적 보안 스캔을 통과합니다. 배포 후 공격자가 외부 도메인의 콘텐츠를 변경하여 에이전트가 호스트에서 실행하는 악성 스크립트를 제공합니다.
영향받는 시스템
오픈소스 리포지토리에서 SKILL.md 스타일 스킬을 사용하는 AI 에이전트 프레임워크, 스킬 지침에 포함된 외부 URL을 따르는 모든 에이전트 런타임
완화 방안
스킬의 외부 URL을 콘텐츠-해시에 고정합니다. 설치된 스킬에서 참조하는 외부 종속성을 지속적으로 모니터링합니다. AI 스킬을 일회성 정적 검토가 아닌 런타임 유효성 검사가 필요한 라이브 타사 종속성으로 취급합니다. AIR 블로그: https://www.air.security/blog-posts/the-story-of-skills