무슨 일이 있었나
Eclipse Theia 1.71.0 이전 버전 (CVSS 8.4 HIGH, 2026년 6월 18일 NVD 발표)에서 AI 채팅 에이전트는 워크스페이스 파일 및 디렉토리 이름을 시스템 명령어와 구별하지 않고 프롬프트 컨텍스트의 일부로 처리했습니다. 공격자는 악의적인 리포지토리를 제작할 수 있으며, 이 리포지토리가 Theia AI 에이전트에 의해 열려서 분석될 때 적대적 디렉토리 또는 파일 이름을 통해 공격자가 제어하는 명령어를 모델의 컨텍스트에 주입할 수 있습니다 — 파일시스템을 통한 전형적인 간접 프롬프트 주입입니다.
왜 중요한가
이는 리포지토리 기반 프롬프트 주입 공격입니다: 개발자가 악의적인 리포를 복제하고 Theia에서 열면, AI 에이전트의 시스템 프롬프트가 적대적 파일명으로 조용히 오염됩니다. 그러면 에이전트는 개발자에게 눈에 띄는 경고 없이 코드를 유출하거나 악의적인 도구 호출을 실행하거나 오도하는 지침을 제공할 수 있습니다. Theia의 AI 도구 호출 기능과 결합하면 코드 실행이나 데이터 유출을 달성할 수 있습니다.
공격 경로
공격자는 프롬프트 주입 페이로드를 포함하는 파일 또는 디렉토리 이름으로 리포지토리를 제작합니다. 개발자가 Eclipse Theia에서 리포지토리를 열고 AI 채팅 에이전트를 사용하면 (워크스페이스 파일 이름이 컨텍스트에 포함됨), 주입된 명령어가 신뢰할 수 있는 시스템 지침으로 처리됩니다.
영향받는 시스템
Eclipse Theia < 1.71.0
완화 방안
Eclipse Theia 1.71.0 이상으로 업그레이드합니다. CVE 할당 참조: https://gitlab.eclipse.org/security/cve-assignment/-/work_items/113