정의
AI 개발 생태계에서 코드 레지스트리(PyPI 또는 npm 같은)의 패키지에 감염되어 자동으로 확산되는 악성 소프트웨어로, AI 코딩 어시스턴트 및 에이전트의 구성 파일에 자신을 삽입합니다. 삽입되면 자격 증명을 도용하고, AI 워크플로우에 백도어를 설치하며, 인간의 개입 없이 새로운 대상으로 복제될 수 있습니다.
왜 중요한가
개발자가 매일 코드를 작성하고 배포하기 위해 사용하는 도구인 AI 코딩 에이전트가 이제 주요 감염 대상입니다. 단 하나의 손상된 AI SDK 패키지도 수천 개의 개발자 환경으로 확산될 수 있으며, 공격자에게 소유 코드, 클라우드 자격 증명 및 프로덕션 배포 파이프라인에 대한 지속적인 액세스를 제공합니다.