Attack  ·  용어집

AI coding agent supply chain attack

AI 코딩 어시스턴트가 읽을 README 파일, 소프트웨어 패키지 또는 MCP 서버 응답과 같은 리소스에 악의적인 명령어나 코드를 주입하여 에이전트가 개발자 머신에서 해로운 명령어를 조용히 실행하도록 하는 공격입니다. 이러한 에이전트들은 개발자의 완전한 계정 권한으로 실행되기 때문에, 복제된 저장소의 단 하나의 손상된 파일이 자격증명을 탈취하거나, 백도어를 설치하거나, 사용자가 아무것도 클릭하지 않은 상태에서 소스 코드를 유출할 수 있습니다. 연구(GuardFall, TrustFall)에 따르면 이는 인기 있는 오픈소스 AI 코딩 에이전트의 대다수에 대해 작동합니다.
AI 코딩 어시스턴트를 사용하는 모든 개발자는 기업 인프라의 잠재적 진입점입니다. 손상된 단 하나의 패키지 또는 저장소가 클라우드 자격증명 탈취, 소스 코드 도용 또는 조직의 시스템 전체에 걸친 횡적 이동으로 확산될 수 있습니다.
MITRE ATLAS — ML Supply Chain Compromise
라이브 피드에서 추적 이 개념이 실제 AI 보안·거버넌스 동향에서 어떻게 나타나는지 확인하세요.
피드 열기 →