무슨 일이 있었나
Virginia Tech, AI Security Company London, University of Texas의 연구원들이 'GitInject'(arXiv 2606.09935, 2026년 6월 7일 제출)를 발표했습니다 — 실시간 GitHub 저장소를 프로비저닝하고 실제 CI/CD 워크플로우 실행을 트리거하여 프롬프트 인젝션을 평가하는 오픈소스 프레임워크입니다. Claude Code Action, Codex Action, Gemini CLI Action을 4개 AI 제공업체에서 테스트한 결과, config-file injection, credential exfiltration, judgment manipulation, availability attacks를 포함한 11개의 명명된 공격을 문서화했으며, 모든 제공업체가 기본 구성에서 최소 하나 이상의 공격 클래스에 취약했습니다.
왜 중요한가
이 연구는 AI CI/CD 에이전트가 '치명적인 3요소'(프라이빗 데이터 접근, 신뢰할 수 없는 콘텐츠 수집, 외부 통신)로 작동하며, config-file injection — PR 브랜치에 CLAUDE.md 또는 AGENTS.md를 추가하는 공격 — 이 가장 위험한 벡터임을 보여줍니다. 에이전트가 이를 PR 콘텐츠 이전에 권한 있는 운영자 수준의 명령으로 로드하기 때문입니다. 이는 AI CI/CD 보안에 대한 첫 체계적인 실제 환경(시뮬레이션 아님) 연구이며, 최소 비용 대응 조치를 확립하고 방어자를 위한 재사용 가능한 도구를 제공합니다.
필요한 조치
보안팀은 GitInject를 자신의 AI 기반 CI/CD 워크플로우에 대해 즉시 실행해야 합니다. 최소한 CLAUDE.md/AGENTS.md 파일을 로드할 수 있는 브랜치를 제한하고 fork 기여자의 PR 이벤트에 대해 읽기 전용 GITHUB_TOKEN 권한을 적용해야 합니다.