◈ AI 보안 인텔리전스 ← 전체 용어
Attack  ·  용어집

Prompt injection

정의
악의적인 지시가 AI가 읽는 텍스트(예: 문서, 이메일 또는 웹 페이지) 내에 숨겨져 있어 AI를 속여서 원래의 지시를 무시하고 대신 공격자가 원하는 일을 하도록 만드는 공격입니다. CEO의 메모를 위조하여 직원의 받은편지함에 몰래 넣는 것과 같다고 생각하면 됩니다. AI는 운영자의 정당한 지시와 공격자의 위조된 지시 간의 차이를 안정적으로 구분할 수 없습니다.
왜 중요한가
고객 이메일, 웹 페이지, 업로드된 문서 등 외부 콘텐츠를 읽거나 요약하는 모든 AI는 잠재적인 공격 대상입니다. 공격이 성공하면 AI가 기밀 데이터를 유출하거나, 무단으로 작업을 수행하거나, 사용자나 운영자가 인식하지 못한 채 잘못된 정보를 퍼뜨릴 수 있습니다.
최근 사례로 확인
StakeBench: No Production Web Agent Consistently Blocks Prompt Injection — Direct Attacks Succeed 79%+ Across GPT-5 and Gemini in 3,168 SimulationsIndirect Prompt Injection Is Architectural, Not Deployment-Specific — Brave Demonstrates Attacks Against Cloud and Local AI ToolsCross-Session Stored Prompt Injection in Agentic Systems — Persistent Injections Survive Session Termination, Silently Influencing Future ExecutionsGitInject: Multi-University Research Confirms All Major AI CI/CD Providers Vulnerable to Prompt Injection — Eleven Named Attack Classes Documented
이 주제 관련 소식 (55)
Agentjacking: AI Coding Agents Hijacked via Sentry MCP Prompt InjectionStarlette BadHost 호스트 헤더 인증 우회 — vLLM 및 FastAPI 기반 AI 도구에 영향Eclipse Theia AI Chat — Markdown 이미지 태그로 인한 프롬프트 인젝션 기반 데이터 유출 (CVE-2026-22551)Eclipse Theia AI Chat — 워크스페이스 파일/디렉토리 이름이 AI 시스템 프롬프트에 주입됨 (CVE-2026-44688)Shai-Hulud/Hades PyPI 공급망 웜, LLM 스캐너 회피 및 자격증명 삭제 데몬으로 AI/ML 패키지 타겟LiteLLM 낮은 권한 → 관리자 → RCE 권한 상승 체인 (CVSS 9.9, Obsidian Security)CISA + G7 공동 지침: "AI를 위한 소프트웨어 자산 목록 – 최소 요소"Varonis SearchLeak (CVE-2026-42824) — Microsoft 365 Copilot Enterprise Search의 원클릭 데이터 유출 체인, 패치됨OpenClaw Zalo allowFrom Policy Bypass via Mutable Contact Display Metadata (CVE-2026-53857)TrueFoundry AI Gateway — Lasso Security 통합을 통한 중앙집중식 GenAI 보안Spring AI 벡터 스토어 — 특수 문자 주입으로 Elasticsearch, OpenSearch 및 GemFire에서 임의 쿼리 실행 가능Shai-Hulud/Hades 캠페인: PyPI 공급망 웜이 AI 스캐너 회피 프롬프트 및 백도어 AI 코딩 에이전트 설정을 주입LangGraph RCE Chain: SQL Injection + msgpack Deserialization in Stateful Agent Checkpointer (CVE-2025-67644 + CVE-2026-28277)Google가 WebMCP 에이전트 보안 지침 발표 — 결정론적 및 확률론적 대응책을 포함한 악성 매니페스트 및 오염된 도구 출력을 주요 공격 벡터로 식별Anthropic는 Claude Fable 5와 Mythos 5 System Card를 발행합니다 — 상세한 사이버 기능 평가, 이중 구성 안전 아키텍처, 및 에이전트 프롬프트 인젝션 벤치마크 결과CSA / Adversa AI AIRQ 보고서: 프로덕션 AI 에이전트의 98%가 치명적 트리플 조합 보유 — 단 11%만 적절히 방어됨Miasma Worm가 AI 코딩 에이전트 탈취로 확대 — SessionStart Hook 페이로드 인젝션 후 73개 Microsoft GitHub 저장소 비활성화CSA Labs: AI Agent Lethal Trifecta — 프로덕션 에이전트의 98%가 동시에 민감한 데이터 액세스, 신뢰할 수 없는 입력, 아웃바운드 액션 능력 결합Microsoft 보안 블로그: Claude Code GitHub Actions의 CI/CD 권한 우회로 인한 공급망 손상 가능 — 해결 방법 공개OpenAI가 ChatGPT 잠금 모드 출시 — 프롬프트 주입 데이터 유출을 대상으로 하는 최초의 기본 제공 프로덕션 제어Microsoft Security Research: CI/CD 파이프라인을 에이전틱 AI 위협으로부터 보호 — Claude Code GitHub Action 사례 연구Noma가 에이전틱 액세스 제어 출시 — AI 에이전트 및 MCP 서버를 위한 동적 레지스트리, ID 및 정책 적용CVE-2026-42074 (CVSS 9.3): OpenClaude Coding-Agent CLI — LLM이 노출된 Schema 파라미터를 통해 자체 Sandbox를 비활성화할 수 있음OWASP Agent Memory Guard 출시 — 에이전트 메모리 포이즈닝을 위한 오픈소스 런타임 방어 (ASI06)Microsoft MXC 출시 — AI 에이전트를 위한 OS 수준 커널 강제 샌드박스, OpenAI와 Nvidia가 런칭 파트너로 참여Cyberhaven이 엔터프라이즈 MCP 보안 가이드 발표 — 도구 중독, 간접 프롬프트 주입, 섀도우 MCP를 주요 위험 카테고리로 제시Palo Alto Networks가 Portkey 인수 완료, Prisma AIRS AI Gateway를 Agentic Control Plane으로 출시arXiv: '설치, 지속, 트리거' — 슬리퍼 어택 연구는 교차 상호작용 에이전트 메모리 포이즈닝을 별개의 위협 클래스로 공식화LangChain 역직렬화 취약점으로 인한 원격 코드 실행 — CVE-2026-44843 (CVSS 8.2)CVE-2026-41863: LLM 영향 파일명이 Spring AI Anthropic Skills API의 파일 쓰기 전에 Path.resolve에 도달 — 에이전틱 워크플로우 경로 순회Singapore Government AI Agents Sandbox: 간접 프롬프트 주입을 통한 RCE 확인됨 - 최고 수준의 프로덕션 에이전틱 공격 벡터싱가포르 정부–Google AI 에이전트 샌드박스: 프로덕션 에이전트 배포에서 간접 프롬프트 인젝션이 주요 사이버보안 위험으로 식별됨RAMPART과 Clarity 소개: 에이전트 개발 워크플로우에 안전성을 가져오는 오픈소스 도구Anthropic이 Claude Code 샌드박스 우회를 조용히 패치함; 5개월 내 두 번째 우회, CVE 미발급CVE-2026-45244: Summarize 브라우저 확장 프로그램 인증 누락으로 인한 에이전트 자동화 하이재킹 허용 (악성 콘텐츠 경유)WARD Guard Model은 거의 완벽한 재현율로 웹 에이전트를 프롬프트 주입으로부터 보호합니다AI 위협이 신흥 시장에서 공격 표면 확대 — 서명 탐지를 넘어선 새로운 공격 벡터Lyrie.ai, Agent Trust Protocol (ATP) 출시—AI 에이전트 암호화 검증을 위한 첫 번째 개방형 표준Heimdallr 프레임워크, GitHub CI 워크플로우에서 LLM 유도 보안 위험 탐지Cobalt 펜테스팅 보고서: AI 시스템, 레거시 앱보다 심각한 결함 밀도 2.5배 높음Gemini CLI 간접 프롬프트 인젝션으로 인한 공급망 침해 (CVSS 10.0)NanoClaw 컨테이너 에이전트 파일시스템 경계 취약점으로 인한 호스트 읽기/쓰기 가능CISA와 국제 파트너들이 안전한 Agentic AI 배포에 관한 공동 자문 발표Model Context Protocol STDIO Transport의 체계적 명령 실행 결함으로 200,000개의 AI 에이전트 서버 영향Forcepoint, AI 에이전트를 대상으로 하는 10개의 In-the-Wild Indirect Prompt Injection 페이로드 공개OpenAI, PII 탐지 및 편집을 위한 Privacy Filter 모델 출시Google Antigravity AI Agent Manager 샌드박스 우회 취약점'Comment and Control': GitHub 댓글을 통한 프롬프트 인젝션이 Claude Code, Gemini CLI, GitHub Copilot 손상ShareLeak / PipeLeak: 패치된 Microsoft Copilot Studio 및 Salesforce Agentforce가 프롬프트 인젝션을 통해 데이터 유출Prompt Injection: OWASP #1 LLM Risk가 2026년에도 계속 증가Google DeepMind, 웹 기반 AI 에이전트 함정 6가지 카테고리 매핑Google DeepMind가 'AI Agent Traps' 분류법 발표: 자율 에이전트에 대한 6가지 공격 범주NIST AI Agent 표준 이니셔티브, 4월 청취 세션 시작CIS Report: Prompt Injections — The Inherent Threat to Generative AIMCP Protocol Tool Poisoning via Malicious Server Registration
참고 자료
OWASP Top 10 for LLM Applications — LLM01: Prompt InjectionNIST CSRC Glossary: Prompt Injection
라이브 피드에서 추적 이 개념이 실제 AI 보안·거버넌스 동향에서 어떻게 나타나는지 확인하세요.
피드 열기 →