기술 설명
Forcepoint 선임 보안 연구원 Mayur Sewani는 2026년 4월 22일에 금융 사기, 데이터 파괴, API 키 도용 및 시스템 침해를 목표로 하는 악의적인 지시사항을 포함하는 AI 에이전트를 대상으로 하는 10개의 indirect prompt injection (IPI) 페이로드를 식별하는 연구를 발표했습니다. 한 페이로드는 LLM 기반 코딩 어시스턴트 또는 셸 액세스가 있는 에이전틱 AI를 강제로 파일 및 디렉토리의 재귀적 강제 삭제를 위한 Unix 명령을 실행하게 합니다. 연구자들은 공격 표면이 IDE, 터미널 환경 및 개발자 도구에 통합된 AI 어시스턴트에 대해 가장 높다고 강조했습니다.
공격 경로
Indirect prompt injection 공격은 AI 에이전트가 수집하는 외부 콘텐츠(문서, 웹 페이지, 코드 저장소)에 악의적인 지시사항을 포함시킵니다. 에이전트가 콘텐츠를 처리할 때, 주입된 프롬프트는 합법적인 사용자 지시사항을 무시하여 에이전트가 권한 없는 작업을 실행하도록 합니다. 공개된 페이로드는 도구 사용 기능이 있는 에이전틱 워크플로우, 특히 셸 액세스 또는 파일 시스템 권한이 있는 것들을 대상으로 합니다.
영향받는 시스템
AI 코딩 어시스턴트, 개발자 도구, 셸 액세스가 있는 에이전틱 AI, LLM 기반 터미널 통합 및 외부 문서 또는 웹 콘텐츠를 읽고 시스템 명령을 실행할 수 있는 모든 AI 에이전트.
완화 방안
에이전트 수집 전에 모든 외부 콘텐츠에 대한 엄격한 입력 검증을 구현하십시오. 도구 및 데이터 액세스를 에이전트 역할당 필요한 최소 수준으로 제한하십시오. 위험도 높은 작업(파일 삭제, 시스템 명령, API 키 액세스)에 대한 인간 개입 승인을 시행하십시오. 비정상적인 에이전트 동작, 특히 권한 상승 또는 예상치 못한 도구 호출에 대한 모니터링을 배포하십시오. 에이전트 실행 환경을 프로덕션 시스템에서 분리하십시오.