Your AI Coding Agent Has Access to Your SSH Keys Right Now

Context

Claude Code 같은 AI 코딩 에이전트에 bash 접근 권한을 부여하면, 프롬프트 주입 공격으로 ~/.ssh/id_rsa, .env 파일, Supabase 서비스 토큰 등 민감한 자격증명이 단일 curl 명령으로 탈취될 수 있다. AI는 사용자 명령과 악의적 콘텐츠를 구분하지 못하기 때문에 웹사이트나 문서에 숨겨진 지시사항도 실행하게 된다.

Technical Solution

• 1계층: 실행 전 훅(Pre-execution Hooks): bash 훅으로 .env, .ssh, id_rsa, config.* 패턴 포함 명령을 실행 전 차단
• 2계층: 우회 탐지: 파이프(|), python3, cp 같은 우회 기법을 감지해 base64 인코딩된 출력 시도 차단
• 3계층: 카나리 카운터-인젝션: 위조 자격증명 파일(~/.env_fake) 접근 시도 감지 시 이후 모든 작업 차단
• 4계층: 자기수정 방지: AI가 훅 파일 편집이나 권한 변경으로 보안 시스템 비활성화하는 것 차단
• 5~7계층: 파일 접근 로깅, 네트워크 요청 모니터링, 민감한 작업에 대한 아웃바운드 연결 제한

Key Takeaway

생산성 손실 없이 AI 에이전트의 자격증명 탈취를 방지하려면 단순 거부 목록 대신 계층화된 탐지 시스템이 필수이며, 컨테이너 내 명시적 보안 가드와 함께 운영해야 한다.