기술 설명
보안 연구원들이 GitHub Actions와 통합된 AI 코딩 에이전트를 탈취하는 프롬프트 인젝션 공격 클래스 'Comment and Control'을 공개했습니다. PR 제목, 이슈 본문 또는 이슈 댓글(렌더링된 마크다운에서 보이지 않는 숨겨진 HTML 댓글 포함)에 악의적인 지시사항을 삽입하여 공격자는 AI 에이전트를 리다이렉트하여 API 키 및 액세스 토큰을 유출할 수 있습니다. 세 가지 주요 AI 코딩 에이전트(Anthropic의 Claude Code Security Review, Google의 Gemini CLI Action, Microsoft의 GitHub Copilot)가 모두 취약한 것으로 확인되었습니다. 버그 바운티가 지급되었지만(Anthropic에서 $100, Google에서 $1,337) 어떤 벤더도 CVE를 할당하거나 공개 보안 공지사항을 발표하지 않아 사용자가 인식 없이 취약한 버전에 고정되어 있습니다.
공격 경로
GitHub 저장소에 쓰기 액세스 권한이 있는 공격자(또는 PR을 제출할 수 있는 공격자)가 PR 제목, 이슈 본문 또는 숨겨진 HTML 댓글에 프롬프트 인젝션 페이로드를 삽입합니다. AI 코딩 에이전트가 자동화된 워크플로우의 일부로 저장소 콘텐츠를 처리할 때 삽입된 지시사항을 해석하고 공개 이슈 댓글 또는 외부 엔드포인트와 같은 공격자가 제어하는 위치로 시크릿(API 키, 액세스 토큰)을 유출합니다.
영향받는 시스템
Anthropic Claude Code Security Review(GitHub Action), Google Gemini CLI Action, Microsoft GitHub Copilot Agent — 모두 GitHub Actions 자동화된 워크플로우에서 작동할 때
완화 방안
AI 에이전트 워크플로우 트리거를 신뢰할 수 있는 기여자만으로 제한합니다. GitHub Actions 워크플로우에서 AI 에이전트 통합을 감사하고 이러한 실행자가 접근할 수 있는 시크릿을 검토합니다. 자동화된 액터에 의한 이상한 이슈 댓글 생성을 모니터링합니다. 공식 패치 또는 공지사항이 발표될 때까지 공개 또는 기여자가 액세스할 수 있는 저장소에서 자동화된 AI 코드 리뷰 트리거 비활성화를 고려합니다. 각 벤더의 변경 로그 및 보안 설명서 페이지에서 업데이트를 확인합니다.