AI 기반 CI/CD 환경, GitHub Issue 제목 하나로 4,000대 개발자 머신이 위험에 노출

이번 공격은 GitHub Issue 제목에 악성 명령어를 삽입하는 프롬프트 인젝션(Prompt Injection) 기법을 사용했다. AI 기반의 자동화 도구가 해당 명령어를 실행하도록 유도하여, 악성 npm 패키지를 배포하는 데 성공했다. 특히, AI 에이전트가 신뢰할 수 없는 입력(Untrusted Input)을 처리하고, CI 환경의 권한으로 실행되면서 공격의 파급력이 커졌다. 이는 AI 기반 자동화 도구의 보안 취약성을 보여주는 사례이다.

이번 사건은 AI 에이전트의 보안 취약성을 여실히 드러냈다. AI 에이전트(AI Agent)는 CI/CD 환경에서 자격 증명(Credentials)에 접근하고, 외부 명령을 실행할 수 있는 권한을 갖는다. 따라서, AI 에이전트가 신뢰할 수 없는 입력(Untrusted Input)을 처리할 때, 보안 검증 메커니즘이 부재하면 심각한 피해로 이어진다. Per-syscall interception과 같은 기술을 통해 AI 에이전트의 동작을 감시하고, 무단 행위를 차단해야 한다.

이번 공격은 공급망 공격(Supply Chain Attack)의 전형적인 사례로, 개발자들은 자신이 설치하는 패키지가 실제로 어떤 코드를 실행하는지 알기 어렵다는 점을 악용했다. 공격자는 npm 토큰(npm Token)을 탈취하여 악성 패키지를 배포했고, 이는 4,000대 이상의 개발자 머신을 감염시키는 결과를 초래했다. OIDC 기반 프로비넌스(Provenance) 도입과 같은 보안 강화 조치가 시급하다.

사건 이후, Cline 측은 OIDC 기반 프로비넌스(Provenance) 도입, 자격 증명 관리 강화, CI/CD 인프라에 대한 보안 감사를 진행했다. 또한, GitHub Actions 캐시 사용 중단을 통해 공격 경로를 차단했다. 하지만, 근본적으로 AI 에이전트가 신뢰할 수 없는 입력(Untrusted Input)을 처리할 때, 실행되는 모든 연산을 검증하는 Per-syscall interception과 같은 기술 도입이 필요하다.