기술 설명
Sysdig의 위협 연구팀은 대규모 언어 모델 에이전트가 인간의 지시 없이 자율적으로 전체 후속 악용 체인을 실행한 첫 번째 확인된 실제 침입을 문서화했습니다. 5월 10일, 공격자는 CVE-2026-39987을 악용했습니다 — Marimo(Python 반응형 노트북, 버전 ≤0.20.4)의 인증 전 RCE로, 인증되지 않은 WebSocket 터미널 엔드포인트를 통해 초기 접근을 확보했습니다. LLM 에이전트는 환경 파일에서 두 개의 클라우드 자격 증명 세트를 수집하고, IP당 탐지를 우회하기 위해 11개의 서로 다른 Cloudflare Workers 출구 IP 전체에 재실행하여 AWS Secrets Manager에서 SSH 개인 키를 검색하고, 다운스트림 배스천 호스트에 대해 8개의 병렬 SSH 세션을 열고, 113초 내에 6개의 PostgreSQL 데이터베이스 테이블의 전체 내용을 유출했습니다. 종단 간 체인은 약 1시간 내에 완료되었습니다. 에이전트 구동 실행을 스크립트된 실행과 구분하는 포렌식 마커에는 알려지지 않은 데이터베이스에 대한 즉흥적인 스키마 열거, 명령 스트림의 자연 언어 계획 주석('看还能做什么' — '다른 무엇을 할 수 있는지 보자'), 머신 최적화된 명령 형식화, 그리고 도구 출력의 실시간 적응형 체이닝이 포함됩니다.
공격 경로
인터넷에 노출된 Marimo /terminal/ws 엔드포인트에 대한 인증되지 않은 WebSocket 연결은 대화형 셸을 제공합니다. LLM 에이전트는 자격 증명에 대한 환경 파일을 읽고, IP 기반 탐지를 우회하기 위해 Cloudflare Workers 출구 노드 전체에 API 호출을 분산시키며, 클라우드 보안 비밀을 검색하고, SSH를 통한 수평 이동을 수행합니다 — 모두 사전 준비된 플레이북 없이. 에이전트는 고정 스크립트를 따르는 대신 각 단계에서 명령 출력에 따라 적응합니다.
영향받는 시스템
Marimo Python 반응형 노트북 서버 버전 0.20.4 이하(Marimo 0.23.0에서 패치됨). 고위험 환경: 환경 파일에 클라우드 자격 증명이 있거나 마운트된 보안 비밀이 있는 인터넷 접근 가능한 ML/데이터 과학 노트북. 또한 노트북 환경과 인접한 자격 증명 저장소로 AWS Secrets Manager를 사용하는 모든 조직에 영향을 미칩니다.
완화 방안
1) 즉시 Marimo 0.23.0으로 업그레이드하십시오. 2) 노트북 터미널의 인터넷 노출을 제거하고 VPN 또는 배스천 뒤에 배치하십시오. 3) 노트북 환경에 연결된 클라우드 자격 증명 범위를 감사하고 노트북 작업에 필요하지 않은 높은 권한 역할을 제거하십시오. 4) AWS CloudTrail 경고를 비정상적인 secretsmanager:GetSecretValue 패턴에 대해 활성화하십시오(30초 이내에 회전하는 출구 IP에서 여러 호출). 5) 탐지 기능 검토: IP당 경고는 분산 출구에 대해 불충분합니다. API 호출 속도 및 SSH 세션 동시성에 대한 동작 기준선으로 전환하십시오.