피드로 돌아가기
Comment and Control: a GitHub comment hijacks Claude Code in CI
Dev.toDev.to
Security

CVSS 9.4 취약점 해결을 위한 Tool-call 계층의 Firewall 설계

Comment and Control: a GitHub comment hijacks Claude Code in CI

Clampd2026년 6월 2일8advanced

Context

CI 환경 내 AI Agent가 PR 제목 및 코멘트 등 외부 입력값을 Prompt로 처리하는 과정에서 발생하는 Prompt Injection 취약점 분석. Agent의 런타임 내에 Production Secret과 신뢰할 수 없는 입력값이 공존하여 Bash tool 등을 통한 Secret 탈취가 가능한 구조적 한계 노출.

Technical Solution

  • Prompt 레벨의 필터링 대신 Tool-call 실행 단계에 Gateway를 배치한 Firewall 아키텍처 도입
  • 모든 Bash, Read, Write 등 Agent의 도구 호출을 Clampd Gateway로 라우팅하여 실행 전 검증
  • 285개의 Detection Rule 및 Cedar Policy 기반의 화이트리스트 방식으로 위험 명령어 실행 차단
  • Agent의 내부 로직 수정 없이 런타임 인프라 계층에서 제어하는 Fail-closed 메커니즘 적용
  • Base64 인코딩 및 /proc/[pid]/environ 접근 등 우회 시도를 도구 호출 단계에서 정밀 탐지

1. CI Agent에 부여하는 GITHUB_TOKEN의 권한을 최소 권한 원칙(Least Privilege)에 따라 제한했는지 확인

2. Blocklist 방식이 아닌 --allowed-tools 기반의 Allowlist 방식으로 도구 사용 권한을 제어하고 있는지 검토

3. 외부 입력값이 Prompt에 직접 삽입되는 f-string 구조를 지양하고 입력값 펜싱(Fencing) 적용 여부 확인

4. Agent의 도구 호출 결과가 외부망으로 유출되는 경로(Egress)에 대한 네트워크 필터링 적용

원문 읽기