도입
Aikido Security는 GitHub Actions 및 GitLab CI/CD 파이프라인에 통합된 AI 에이전트에서 'PromptPwnd'라는 새로운 유형의 취약점을 발견했습니다. 이는 AI 프롬프트 주입이 CI/CD 파이프라인을 직접적으로 손상시킬 수 있음을 입증한 최초의 사례입니다. 최소 5개의 Fortune 500 기업이 영향을 받았으며, 구글의 Gemini CLI 저장소 또한 이 취약점 패턴에 노출되어 Aikido의 공개 후 신속하게 패치되었습니다. 이 취약점은 신뢰할 수 없는 사용자 입력이 AI 프롬프트에 주입되어 AI 에이전트가 권한 있는 도구를 실행하고, 궁극적으로는 비밀 정보 유출이나 워크플로우 조작으로 이어지는 위험한 패턴을 따릅니다.
PromptPwnd 공격은 CI/CD 파이프라인 내 AI 에이전트가 높은 권한을 가진 도구에 접근할 때 발생합니다. 신뢰할 수 없는 사용자 입력(예: 이슈 제목/본문, PR 본문, 커밋 메시지)이 AI 프롬프트에 주입되면, AI 에이전트가 이를 명령으로 오인하고 권한 있는 작업을 수행하여 비밀 정보를 유출하거나 워크플로우를 조작합니다.
공격 메커니즘 및 취약한 워크플로우
- 입력 주입 및 권한 오용: AI 통합 GitHub Actions 및 GitLab 워크플로우는 신뢰할 수 없는 사용자 입력을 프롬프트에 직접 삽입하며, AI 모델은 높은 권한의 토큰(예:
GITHUB_TOKEN) 및 이슈/PR 편집, 셸 명령 실행 등의 도구에 접근하여 악의적인 텍스트를 명령으로 해석, 시스템을 조작합니다.
- 위험 요소: Gemini CLI, Claude Code Actions, OpenAI Codex Actions, GitHub AI Inference와 같은 AI 에이전트를 사용하고, 높은 권한의 비밀 정보에 노출되어 있거나 셸 명령 실행을 허용하는 AI 도구를 제공하는 워크플로우가 취약합니다.
Google Gemini CLI 해킹 사례Google의 gemini-cli 저장소는 google-github-actions/run-gemini-cli 액션을 통해 이슈를 분류했습니다. 이 워크플로우는 신뢰할 수 없는 ISSUE_TITLE 및 ISSUE_BODY를 모델 프롬프트에 직접 전달했습니다. 에이전트는 GEMINI_API_KEY, GOOGLE_CLOUD_ACCESS_TOKEN, 쓰기 권한을 가진 GITHUB_TOKEN에 접근 가능했으며, run_shell_command(gh issue edit)와 같은 도구를 노출했습니다. 공격자는 악의적인 이슈 본문을 통해 숨겨진 지시를 삽입, gh issue edit <ISSUE_ID> --body "<LEAKED_TOKENS>" 명령을 실행하게 함으로써 비밀 정보를 성공적으로 유출했습니다.
주요 AI 에이전트별 위험성Claude Code Actions의 allowed_non_write_users: "*" 설정, OpenAI Codex Actions의 allow-users: "*" 및 잘못된 safety-strategy 설정, GitHub AI Inference의 enable-github-mcp: true 설정은 PromptPwnd 공격에 대한 추가적인 취약점을 제공합니다.이러한 취약점은 사용자 콘텐츠가 프롬프트에 직접 삽입되고, AI 출력이 셸 명령으로 실행되며, 높은 권한의 도구가 모델에 노출되는 복합적인 요인으로 발생합니다.
결론
Shai-Hulud 2.0 공격이 GitHub Actions의 오설정 위험을 보여주었듯이, CI/CD에 AI 에이전트가 도입되면서 새로운 공격 표면이 형성되었습니다. 이슈 분류, PR 라벨링, 코드 제안 등 AI를 활용하는 모든 저장소는 프롬프트 주입, 명령 주입, 비밀 정보 유출, 저장소 손상 및 공급망 손상의 위험에 노출됩니다. 이는 단순한 이론이 아니라 실제 PoC(Proof of Concept) 익스플로잇이 존재하며 여러 주요 오픈소스 프로젝트가 이미 영향을 받고 있습니다. 따라서 GitHub Actions 내에서 AI를 사용하는 프로젝트는 지금 즉시 워크플로우를 감사하고 보안을 강화해야 합니다.