기술 설명
Adversa AI는 SymJack을 공개했습니다. 이는 악성 저장소에 무해해 보이도록 이름을 바꾼 심링크가 포함된 새로운 에이전트 공격 클래스입니다. cp 명령어를 사용하여 페이로드를 에이전트의 구성에 조용히 삽입하여 악성 MCP 서버를 등록합니다. 개발자의 승인 프롬프트는 무해한 파일 복사 요청만 표시합니다 — 구성 디렉토리나 실행 가능한 콘텐츠에 대한 언급이 없습니다. 다음 에이전트 재시작 시 심어진 서버가 생성되고 공격자 코드가 사용자로서 샌드박스 없이 실행됩니다. 이 공격은 Claude Code, Cursor, Gemini CLI (Antigravity CLI), GitHub Copilot CLI, 그리고 Grok Build CLI에 대해 확인되었습니다.
공격 경로
공격자가 코딩 에이전트 저장소(또는 종속성 저장소)를 제어합니다. 특별히 제작된 명령어 파일에는 위장된 심링크를 에이전트의 MCP 구성 디렉토리로 해석하는 cp 명령어가 포함되어 있습니다. 개발자가 무해해 보이는 요청을 승인합니다. 에이전트는 추가 프롬프트 없이 악성 MCP 서버 구성을 설치합니다. CI 파이프라인에서 영향 범위는 실행기에 접근 가능한 모든 비밀, 토큰, OIDC 자격증명으로 확장됩니다 — 추가 사용자 상호작용 없이 공급망 공격을 가능하게 합니다.
영향받는 시스템
공개 시점에 5개의 주요 AI 코딩 에이전트 CLI가 모두 영향을 받는 것으로 확인되었습니다: Claude Code (Anthropic), Cursor Agent CLI, Gemini CLI / Antigravity CLI (Google), GitHub Copilot CLI, Grok Build CLI (xAI). Anthropic은 이후 Claude Code를 강화하여 승인 프롬프트를 표시하기 전에 심링크를 해석하도록 했습니다. Cursor, Google, xAI, 그리고 GitHub은 SecurityWeek 보도 시점에 완전히 완화하지 않았습니다.
완화 방안
Claude Code의 경우: 승인 프롬프트 전에 심링크를 해석하는 버전으로 업데이트하세요. 다른 모든 에이전트의 경우: 에이전트에서 생성한 명령어의 모든 cp 또는 파일 이동 명령어를 잠재적으로 위험한 것으로 취급하고 승인하기 전에 실제 대상 경로를 검사하세요. 조직은 서명된 도구 매니페스트를 요구하고 구성 디렉토리에 대한 에이전트 접근을 제한해야 합니다. CI 파이프라인은 최소한의 비밀 접근으로 격리된 환경에서 실행되어야 합니다.