에이전트킷

CriptoNoticias에 따르면, 한 독립 보안 연구원이 Coinbase AgentKit에 prompt injection 취약점이 존재한다고 밝혔습니다. 공격자는 악의적인 명령을 통해 AI 에이전트를 유도하여 승인되지 않은 토큰 전송을 수행할 수 있으며, 인적 확인이 필요하지 않습니다.이 취약점은 Base Sepolia 테스트 네트워크에서 실제 거래를 통해 검증되었습니다. 또한 연구원은 이 취약점이 ERC-20 토큰의 무한 승인 프로세스를 노출시키고, 에이전트의 동일한 실행 컨텍스트 내에서 원격 서버에 대한 접근 권한을 부여하여 지갑이 비워지는 것 이상의 위험을 초래한다고 지적했습니다. 그러나 보고서에서는 어떤 특정 인프라가 영향을 받을 수 있는지에 대한 자세한 내용은 언급하지 않았습니다.이 취약점은 2월에 Coinbase의 버그 바운티 프로그램에 제출되어 공식적으로 검증되었으며, 최종적으로 중간 위험으로 처리되어 2,000달러의 보상이 지급되었습니다. 그러나 연구원은 취약점의 실제 영향이 공식 등급보다 훨씬 크다고 강조했습니다.