AST 그래프 분석 기반 API 경계 강화로 로컬 파일시스템 및 아카이브 보안 취약점 해결

Hardening API Scan Boundaries in skill-scanner, with sqry as the Review Map

Werner Kasselman2026년 6월 14일12분intermediate

AI 요약

Context

로컬 디렉토리 스캔, ZIP 파일 업로드, LLM 기반 분석 등 고비용 작업을 수행하는 FastAPI 기반 skill-scanner API의 광범위한 공격 표면 노출. 단순 API 엔드포인트뿐만 아니라 CLI, 테스트, 내부 로더 등 공유 코드를 통해 접근 가능한 비정상적 파일시스템 접근 및 자원 고갈 위험 존재.

Technical Solution

sqry의 AST 기반 코드 그래프 분석을 통한 API 핸들러-내부 구현체 간의 전방위적 호출 관계 및 심볼 매핑으로 잠재적 누수 경로 식별
archive_limits.py 및 fs_limits.py 모듈 신설을 통한 아카이브 확장 및 파일시스템 탐색의 물리적 제약 사항 강제 적용
SKILL_SCANNER_ALLOWED_ROOTS 설정 부재 시 모든 접근을 차단하는 Fail-closed 메커니즘 도입으로 기본 보안 수준 강화
API Key 기반 인증 체계와 프로세스 로컬 Rate Limiting 적용을 통한 고비용 엔드포인트의 자원 남용 방지
단순 텍스트 검색이 아닌 코드 그래프 기반의 Boundary Review 프로세스를 구축하여 API, CLI, Hook 등 다양한 진입점의 통합 보안 검증 수행

실천 포인트

1. 단순 Grep 대신 AST/Graph 기반 분석 도구로 호출 체인의 전체 전파 경로를 가시화했는가?

2. 설정값이 없을 때 '모든 허용'이 아닌 '모든 차단(Fail-closed)'으로 작동하는가?

3. 파일시스템 접근 및 아카이브 해제 로직에 물리적인 크기/깊이 제한(Caps)이 구현되어 있는가?

4. API, CLI, 테스트 코드 등 서로 다른 진입점이 동일한 내부 로직을 공유할 때 각각의 권한 경계가 일치하는가?

태그

#Fail-closed #API Hardening #Attack Surface #AST #Rate Limiting

원문 읽기