기술 설명
저장대학교 연구원들이 자율 코딩 에이전트를 대상으로 하는 페이로드 없는 공급망 공격인 의미론적 규정 준수 납치(SCH)를 공개했습니다. 이 공격은 악의적인 목표를 규정 준수 규칙으로 형식화된 비정형 자연어 지시사항으로 변환하여 에이전트가 런타임에 승인되지 않은 코드를 생성하고 실행하도록 합니다. SCH가 인식 가능한 코드 페이로드와 추상 구문 트리 서명을 생략하기 때문에 조작된 스킬 파일은 현재 스캔 도구에 대해 0.00% 감지율을 유지했습니다.
공격 경로
공격자는 ClawHub 같은 마켓플레이스를 통해 배포되는 에이전트 스킬 설명 파일 내에 필요한 규정 준수 규칙으로 위장한 자연어 지시사항을 포함시킵니다. 에이전트가 스킬을 로드하면 포함된 지시사항을 권위 있는 운영 지시문으로 취급하고 악의적인 코드를 동적으로 합성합니다. 이 공격은 세 가지 주요 에이전트 프레임워크(OpenClaw, Claude Code, Codex)와 세 가지 기초 모델 전반에서 기밀성 침해에 대해 77.67%의 성공률과 원격 코드 실행에 대해 67.33%의 성공률을 달성했습니다.
영향받는 시스템
OpenClaw, Claude Code, Codex를 포함한 개방형 마켓플레이스에서 타사 스킬을 로드하는 AI 에이전트 프레임워크와 스킬 로딩 아키텍처를 갖춘 유사한 에이전트 시스템. 이 공격은 SAST 도구와 SkillScan 같은 스킬 스캐너 같은 현재 정적 애플리케이션 보안 테스팅 도구를 우회합니다.
완화 방안
서명 기반 스킬 스캐닝에서 의미론적 의도 검증으로의 전환. 스킬 소스를 감사하고 스킬 설치를 검증된 저장소로 제한합니다. 실행 전 에이전트 생성 코드의 런타임 모니터링을 구현합니다. 에이전트 워크로드에 대한 최소 권한 실행 컨텍스트를 적용합니다. 에이전트 시스템 수준 권한(파일 시스템 액세스, 셸 명령 실행, 네트워크 연결)을 검토하고 가능한 경우 샌드박싱을 적용합니다.