느린 안개余弦:Claude Code가 고위험 보안 위험을 폭로하며, 악의적인 구성 파일이 조용히 명령을 실행할 수 있음
느낌의 창립자 유선이 X 플랫폼에서 Claude Code의 잠재적인 투독 공격 위험에 대한 트윗을 리트윗하고 Grok Build CLI 및 Claude Code CLI의 투독 공격 세부 분석을 발표했습니다.
그 중에서 Grok Build CLI의 보안 메커니즘이 통일되지 않았으며, 서로 다른 코드 경로가 서로 다른 신뢰 가정을 가지고 있어 틈새가 공격자의 통로가 될 수 있다고 지적했습니다. 공격자는 악성 프로젝트 구성 파일을 통해 사용자가 모르는 사이에 임의의 명령을 실행하여 API 키, 클라우드 자격 증명 또는 로컬 장치를 제어할 수 있습니다.
연구원들은 테스트 환경을 구성하여 Mac 시스템에서 Claude Code가 영향을 받을 경우 특정 테스트 명령을 실행한 후 로컬 계산기가 시작되는 것을 확인하여 잠재적인 명령 실행 위험이 존재함을 증명했습니다.
공격이 성공하면 공격자는 Claude, OpenAI 등의 AI 서비스 API 키를 추가로 탈취하여 계정 비용 손실을 초래하고, AWS, 알리바바 클라우드, 텐센트 클라우드 등의 클라우드 서비스 자격 증명을 통해 서버와 데이터에 접근하며, 코드 저장소를 변조하여 백도어를 심고, 로컬 장치를 기업 내부 네트워크에 대한 점프 공격으로 이용할 수 있습니다. 관련 취약점은 이미 1년 동안 존재해 왔습니다.






