AI 생성 코드의 Prototype Pollution 취약점 및 Object.hasOwn() 기반 해결책

Context

Cursor 및 Claude Code 등 LLM이 2019년 이전의 StackOverflow 학습 데이터에 편향되어 for...in 루프 기반의 insecure deep merge 패턴을 반복 생성하는 상황. 상속된 속성까지 순회하는 JS 특성으로 인해 외부 입력값의 proto 조작을 통한 전역 Object.prototype 오염 가능성 존재.

Technical Solution

• for...in 루프의 inherited properties 순회 특성을 제거하여 Prototype Pollution 벡터 차단
• Object.hasOwn() 메서드 도입을 통한 source 객체 자체의 소유 속성으로 검증 범위 제한
• Object.keys() 기반의 forEach 구조로 전환하여 enumerable own properties만 처리하는 설계 변경
• untrusted JSON 파싱 단계에서 proto, constructor, prototype 키 포함 여부를 검증하는 isSafeObject 가드 로직 추가
• MCP 서버 기반의 SafeWeave나 semgrep pre-commit hook을 통한 정적 분석 자동화 체계 구축