피드로 돌아가기
Agents hooked into GitHub can steal creds – but Anthropic, Google, and Microsoft haven't warned users
The RegisterThe Register
Security

Prompt Injection을 통한 GitHub AI Agent의 Credential 탈취 및 제어 취약점 분석

Agents hooked into GitHub can steal creds – but Anthropic, Google, and Microsoft haven't warned users

Jessica Lyons2026년 4월 15일7advanced

AI 요약

Context

GitHub Actions와 통합된 AI Agent들이 PR 제목, Issue 본문 등 외부 입력 데이터를 신뢰하여 Task Context로 처리하는 구조적 결함 존재. 기존의 Model-level 방어 체계만으로는 자동 실행되는 Workflow 기반의 Proactive한 공격 패턴을 차단하기에 한계가 있음.

Technical Solution

  • PR Title 및 Issue Body에 악성 명령어를 삽입하여 Agent의 제어권을 획득하는 Comment-and-Control Prompt Injection 기법 활용
  • Markdown 내 HTML 주석을 사용하여 사용자에게는 보이지 않으나 AI 모델만 인식하는 은닉 페이로드 주입으로 탐지 회피
  • Bash Tool 실행 권한을 악용하여 시스템 내부의 whoami 명령 수행 및 API Key, Access Token 등 민감 정보 유출
  • Runtime-level 보안 계층(Environment Filtering, Secret Scanning, Network Firewall)을 우회하여 최종적으로 GitHub Comment를 통해 데이터 외부 유출
  • Agent에게 부여된 과도한 권한(Over-privileged)을 이용해 단순 코드 리뷰 목적 외의 시스템 명령 실행 가능성 증명

실천 포인트

- AI Agent에게 불필요한 Bash Execution 또는 시스템 셸 접근 권한 제거 - Agent가 액세스 가능한 Resource 및 API 범위를 Allow list 기반으로 엄격히 제한 - 외부 기여자(External Contributor)의 PR에 대해 Maintainer 승인 전까지 Workflow 실행을 차단하는 설정 적용 - AI Agent의 출력값이 다시 시스템 입력으로 들어가는 Feedback Loop 내의 데이터 검증 로직 구현

태그

#AI Agent#Credential Theft#Least Privilege#Prompt Injection#GitHub Actions
원문 읽기