◈ AI 보안 인텔리전스 ← 전체 용어
Attack  ·  용어집

Prompt injection

정의
악의적인 지시가 AI가 읽는 텍스트(예: 문서, 이메일 또는 웹 페이지) 내에 숨겨져 있어서 AI를 속여 원래의 지시를 무시하고 공격자가 원하는 작업을 수행하도록 하는 공격입니다. CEO의 메모를 위조해서 직원의 받은편지함에 몰래 넣는 것과 같은 AI 버전의 공격이라고 생각하면 됩니다. AI는 운영자의 정당한 지시와 공격자의 위조된 지시의 차이를 안정적으로 구분할 수 없습니다.
왜 중요한가
고객 이메일, 웹 페이지, 업로드된 문서 등 외부 콘텐츠를 읽거나 요약하는 모든 AI는 잠재적 공격 대상입니다. 성공한 공격은 사용자나 운영자가 알아채지 못한 채로 AI가 기밀 데이터를 유출하거나, 무단으로 조치를 취하거나, 허위 정보를 확산하도록 할 수 있습니다.
최근 사례로 확인
StakeBench: No Production Web Agent Consistently Blocks Prompt Injection — Direct Attacks Succeed 79%+ Across GPT-5 and Gemini in 3,168 SimulationsIndirect Prompt Injection Is Architectural, Not Deployment-Specific — Brave Demonstrates Attacks Against Cloud and Local AI ToolsCross-Session Stored Prompt Injection in Agentic Systems — Persistent Injections Survive Session Termination, Silently Influencing Future ExecutionsGitInject: Multi-University Research Confirms All Major AI CI/CD Providers Vulnerable to Prompt Injection — Eleven Named Attack Classes Documented
이 주제 관련 소식 (53)
Eclipse Theia AI Chat — Markdown 이미지 태그로 인한 프롬프트 인젝션 기반 데이터 유출 (CVE-2026-22551)Eclipse Theia AI Chat — 워크스페이스 파일/디렉토리 이름이 AI 시스템 프롬프트에 주입됨 (CVE-2026-44688)Shai-Hulud/Hades PyPI Supply-Chain Worm, AI/ML 패키지 타겟 및 LLM Scanner Evasion과 Credential-Wiper Daemon 포함LiteLLM 낮은 권한 → 관리자 → RCE 권한 상승 체인 (CVSS 9.9, Obsidian Security)CISA + G7 공동 지침: "AI용 소프트웨어 자재명세서 – 최소 요소"Varonis SearchLeak (CVE-2026-42824) — Microsoft 365 Copilot Enterprise Search의 원클릭 데이터 유출 체인, 패치됨OpenClaw Zalo allowFrom Policy Bypass via Mutable Contact Display Metadata (CVE-2026-53857)TrueFoundry AI Gateway — Lasso Security 통합으로 중앙화된 GenAI 보호Spring AI 벡터 저장소 — 특수 문자 주입으로 Elasticsearch, OpenSearch 및 GemFire에서 임의 쿼리 실행 가능Shai-Hulud/Hades 캠페인: PyPI 공급망 웜이 AI 스캐너 회피 프롬프트 및 백도어 AI 코딩 에이전트 구성을 주입LangGraph RCE 체인: Stateful Agent Checkpointer의 SQL Injection + msgpack 역직렬화 (CVE-2025-67644 + CVE-2026-28277)Google, WebMCP 에이전트 보안 가이드 발표 — 악의적 매니페스트 및 오염된 도구 출력을 주요 공격 벡터로, 결정론적 및 확률론적 대응 방안 제시Anthropic, Claude Fable 5 및 Mythos 5 System Card 발표 — 상세한 사이버 능력 평가, 이중 구성 안전 아키텍처 및 에이전트 프롬프트 인젝션 벤치마크 결과CSA / Adversa AI AIRQ 보고서: 프로덕션 AI 에이전트의 98%가 치명적 삼중 위협 보유 — 단 11%만 적절히 방어됨Miasma 웜이 AI 코딩 에이전트 하이재킹으로 확대 — SessionStart 훅 페이로드 주입 후 73개 Microsoft GitHub 저장소 비활성화CSA Labs: AI Agent Lethal Trifecta — 프로덕션 에이전트의 98%가 동시에 민감한 데이터 접근, 신뢰할 수 없는 입력, 아웃바운드 작업 기능을 결합Microsoft Security Blog: CI/CD Permission Bypass in Claude Code GitHub Actions Enables Supply-Chain Compromise — Remediation Guidance PublishedOpenAI가 ChatGPT 록다운 모드 출시 — 프롬프트 인젝션 데이터 유출을 겨냥한 첫 번째 내장 프로덕션 컨트롤Microsoft Security Research: CI/CD 파이프라인을 Agentic AI 위협으로부터 보호 — Claude Code GitHub Action 사례 연구Noma, AI 에이전트 및 MCP 서버를 위한 동적 레지스트리, ID 및 정책 집행을 포함한 에이전트 접근 제어 출시CVE-2026-42074 (CVSS 9.3): OpenClaude Coding-Agent CLI — LLM이 노출된 스키마 매개변수를 통해 자신의 샌드박스를 비활성화할 수 있음OWASP Agent Memory Guard 출시 — 에이전트 메모리 포이즈닝을 위한 오픈소스 런타임 방어 (ASI06)Microsoft가 AI 에이전트를 위한 OS 수준 커널 기반 샌드박스인 MXC 출시 — OpenAI 및 Nvidia가 런칭 파트너로 참여Cyberhaven, 엔터프라이즈 MCP 보안 가이드 발행 — 도구 중독, 간접 프롬프트 주입 및 섀도우 MCP를 주요 위험 카테고리로 지정Palo Alto Networks가 Portkey 인수 완료, Prisma AIRS AI Gateway를 Agentic Control Plane으로 출시arXiv: '심기, 지속, 트리거' — 슬리퍼 공격 연구가 교차 상호작용 에이전트 메모리 중독을 별개의 위협 등급으로 공식화LangChain 역직렬화 취약점으로 인한 원격 코드 실행 — 과도하게 광범위한 객체 허용 목록을 통한 CVE-2026-44843 (CVSS 8.2)CVE-2026-41863: LLM 영향 파일명이 Spring AI Anthropic Skills API의 파일 쓰기 전에 Path.resolve에 도달 — 에이전트 워크플로우 경로 순회Singapore 정부 AI 에이전트 샌드박스: RCE를 가능하게 하는 간접 프롬프트 인젝션, 최상위 프로덕션 에이전트 공격 벡터로 확인싱가포르 정부–Google AI 에이전트 샌드박스: 프로덕션 에이전트 배포에서 간접 프롬프트 인젝션이 주요 사이버보안 위험으로 식별됨RAMPART와 Clarity 소개: 에이전트 개발 워크플로우에 안전성을 도입하는 오픈소스 도구Anthropic가 Claude Code 샌드박스 우회를 조용히 패치; 5개월 내 두 번째 우회, CVE 미발급CVE-2026-45244: Summarize 브라우저 확장 프로그램 인증 누락으로 인한 에이전트 자동화 하이재킹 허용WARD 가드 모델은 프롬프트 주입으로부터 웹 에이전트를 거의 완벽한 재현율로 방어합니다AI 위협이 신흥 시장에서 공격 표면 확대 — 서명 탐지를 넘어선 새로운 공격 벡터Lyrie.ai가 Agent Trust Protocol (ATP) 출시—AI 에이전트 암호화 검증을 위한 첫 개방형 표준Heimdallr Framework는 GitHub CI 워크플로우에서 LLM으로 인한 보안 위험을 감지합니다Cobalt 펜테스팅 보고서: AI 시스템, 레거시 앱보다 심각한 결함 밀도 2.5배 높음Gemini CLI 간접 프롬프트 주입으로 인한 공급망 침해 (CVSS 10.0)NanoClaw 컨테이너 에이전트 파일시스템 경계 취약점으로 인한 호스트 읽기/쓰기 가능CISA와 국제 파트너들, 안전한 Agentic AI 배포에 관한 공동 권고안 발표Model Context Protocol STDIO Transport의 시스템적 명령 실행 결함이 200,000개 AI 에이전트 서버에 영향Forcepoint, AI 에이전트를 대상으로 한 10개의 In-the-Wild 간접 프롬프트 주입 페이로드 공개OpenAI가 PII 탐지 및 편집을 위한 프라이버시 필터 모델 출시Google Antigravity AI Agent Manager Sandbox Escape Vulnerability'댓글과 제어': GitHub 댓글을 통한 프롬프트 인젝션이 Claude Code, Gemini CLI 및 GitHub Copilot 손상ShareLeak / PipeLeak: 패치된 Microsoft Copilot Studio와 Salesforce Agentforce도 프롬프트 주입을 통해 데이터 유출Prompt Injection: OWASP #1 LLM Risk는 2026년에도 계속 급증Google DeepMind이 웹 기반 AI 에이전트 함정의 6가지 범주 매핑Google DeepMind, '자율형 AI 에이전트에 대한 AI Agent Traps' 분류법 발표: 6가지 공격 범주NIST AI Agent 표준 이니셔티브 4월 청취 세션 개시CIS Report: Prompt Injections — The Inherent Threat to Generative AIMCP 프로토콜 도구 독 중독: 악의적 서버 등록을 통한 공격
참고 자료
OWASP Top 10 for LLM Applications — LLM01: Prompt InjectionNIST CSRC Glossary: Prompt Injection
라이브 피드에서 추적 이 개념이 실제 AI 보안·거버넌스 동향에서 어떻게 나타나는지 확인하세요.
피드 열기 →