GitHub AI Agent 3종의 Indirect Prompt Injection 취약점 및 거버넌스 실패 분석

Context

AI Agent가 GitHub의 PR, Issue 등 외부 콘텐츠를 신뢰 기반으로 처리하는 아키텍처 설계로 인한 보안 공백 발생. 데이터 파싱 단계에서 명령어를 구분하지 못해 외부 입력값이 시스템 명령어로 승격되는 Indirect Prompt Injection 구조적 한계 노출.

Technical Solution

• Read Surface 내 악의적 지침 삽입을 통한 Agent 권한 탈취 및 Remote Execution 구현
• PR Title에 명령어를 삽입하여 Bash Tool을 통해 whoami 실행 및 결과 반환 유도
• Fake Trusted Content Section 설계를 통한 모델 Safety Instruction 무력화 및 API Key 유출 유도
• Markdown 렌더링 시 제외되는 HTML Comment 내 은닉 명령어를 통한 Access Token 탈취 수행
• 모델 레벨의 방어 기제 대신 인프라 계층에서의 Content Policy 도입을 통한 사전 필터링 구조 제안
• CVE 미발급으로 인한 SBOM 및 취약점 스캐너의 탐지 불가 상태 유지 및 패치 적용 누락 위험 증가