피드로 돌아가기
Dev.toSecurity
원문 읽기
CVSS 9.4 취약점 해결을 위한 Tool-call 계층의 Firewall 설계
Comment and Control: a GitHub comment hijacks Claude Code in CI
AI 요약
Context
CI 환경 내 AI Agent가 PR 제목 및 코멘트 등 외부 입력값을 Prompt로 처리하는 과정에서 발생하는 Prompt Injection 취약점 분석. Agent의 런타임 내에 Production Secret과 신뢰할 수 없는 입력값이 공존하여 Bash tool 등을 통한 Secret 탈취가 가능한 구조적 한계 노출.
Technical Solution
- Prompt 레벨의 필터링 대신 Tool-call 실행 단계에 Gateway를 배치한 Firewall 아키텍처 도입
- 모든 Bash, Read, Write 등 Agent의 도구 호출을 Clampd Gateway로 라우팅하여 실행 전 검증
- 285개의 Detection Rule 및 Cedar Policy 기반의 화이트리스트 방식으로 위험 명령어 실행 차단
- Agent의 내부 로직 수정 없이 런타임 인프라 계층에서 제어하는 Fail-closed 메커니즘 적용
- Base64 인코딩 및 /proc/[pid]/environ 접근 등 우회 시도를 도구 호출 단계에서 정밀 탐지
실천 포인트
1. CI Agent에 부여하는 GITHUB_TOKEN의 권한을 최소 권한 원칙(Least Privilege)에 따라 제한했는지 확인
2. Blocklist 방식이 아닌 --allowed-tools 기반의 Allowlist 방식으로 도구 사용 권한을 제어하고 있는지 검토
3. 외부 입력값이 Prompt에 직접 삽입되는 f-string 구조를 지양하고 입력값 펜싱(Fencing) 적용 여부 확인
4. Agent의 도구 호출 결과가 외부망으로 유출되는 경로(Egress)에 대한 네트워크 필터링 적용