악성 웹 페이지가 AI Agents를 하이재킹하고 있으며, 일부는 귀하의 PayPal을 노리고 있습니다

📄전체 원문· trafilatura에 의해 자동 추출됨Gemini 翻譯5069 자

요약 - Google은 2025년 11월부터 2026년 2월 사이 웹을 탐색하는 AI agent를 겨냥한 악성 간접 프롬프트 주입(indirect prompt injection) 공격이 32% 급증했다고 기록했습니다. - 실제 발견된 페이로드에는 결제 기능이 있는 agent를 노리고 일반 HTML 내에 보이지 않게 삽입된 PayPal 거래 지침이 포함되어 있었습니다. - 현재 합법적인 자격 증명을 가진 AI agent가 악의적인 제3자 웹사이트에 의해 심어진 명령을 실행할 경우, 그 책임을 규정하는 법적 체계는 존재하지 않습니다. 공격자들은 인간 독자가 아닌 AI agent를 위해 설계된 보이지 않는 지침으로 웹 페이지를 은밀하게 함정으로 만들고 있습니다. Google 보안 팀에 따르면 이 문제는 빠르게 커지고 있습니다. 4월 23일 발표된 보고서에서 Google 연구원 Thomas Brunner, Yu-Han Liu, Moni Pande는 매달 20억~30억 개의 크롤링된 웹 페이지를 스캔하여 간접 프롬프트 주입 공격, 즉 AI agent가 읽고 명령을 따르기를 기다리는 웹사이트 내 숨겨진 명령을 조사했습니다. 그 결과 2025년 11월부터 2026년 2월 사이 악성 사례가 32% 증가한 것을 발견했습니다. 공격자들은 인간에게는 보이지 않는 방식으로 웹 페이지에 지침을 삽입합니다. 1픽셀로 축소된 텍스트, 투명도에 가깝게 처리된 텍스트, HTML 주석 섹션에 숨겨진 콘텐츠, 또는 페이지 메타데이터에 묻힌 명령 등이 그 예입니다. AI는 전체 HTML을 읽지만, 인간은 아무것도 보지 못합니다. Google이 발견한 대부분은 장난, 검색 엔진 조작, AI agent의 콘텐츠 요약 방해 등 저급한 수준이었습니다. 예를 들어, AI에게 "새처럼 트윗하라"고 지시하는 프롬프트도 있었습니다. 하지만 위험한 사례는 차원이 다릅니다. 한 사례는 LLM에게 사용자의 비밀번호와 함께 IP 주소를 반환하도록 지시했습니다. 또 다른 사례는 AI가 AI 사용자의 기기를 포맷하는 명령을 실행하도록 조작을 시도했습니다. 더욱 위험한 사례들도 있습니다. 사이버 보안 기업 Forcepoint의 연구원들은 거의 동시에 보고서를 발표하며 더 나아간 페이로드를 발견했습니다. 하나는 유명한 "ignore all previous instructions" 탈옥 기법을 사용하여 통합 결제 기능이 있는 AI agent를 겨냥한 단계별 지침이 포함된 PayPal 거래를 삽입했습니다. 두 번째 공격은 "meta tag namespace injection" 기법을 설득력 증폭 키워드와 결합하여 AI가 매개하는 결제를 Stripe 기부 링크로 유도했습니다. 세 번째는 더 큰 공격을 앞둔 정찰 단계로, 어떤 AI 시스템이 실제로 취약한지 조사하기 위해 설계된 것으로 보입니다. 이것이 기업 리스크의 핵심입니다. 합법적인 결제 자격 증명을 가진 AI agent가 웹사이트에서 읽은 거래를 실행하면, 정상적인 작업과 동일하게 보이는 로그가 생성됩니다. 비정상적인 로그인도, 무차별 대입 공격도 없습니다. agent는 권한이 부여된 대로 정확히 수행했을 뿐이며, 단지 잘못된 출처로부터 지침을 받았을 뿐입니다. 지난 9월 기록된 CopyPasta 공격은 프롬프트 주입이 "readme" 파일 내부에 숨어 개발자 도구를 통해 어떻게 확산될 수 있는지 보여주었습니다. 금융 변종은 코드 대신 돈에 동일한 개념을 적용한 것이며, 성공 시 훨씬 더 큰 타격을 줍니다. Forcepoint가 설명하듯, 콘텐츠 요약만 가능한 브라우저 AI는 위험도가 낮습니다. 이메일을 보내거나, 터미널 명령을 실행하거나, 결제를 처리할 수 있는 agentic AI는 완전히 다른 범주의 타겟입니다. 공격 표면은 권한에 비례하여 확장됩니다. Google과 Forcepoint 모두 정교하고 조직적인 캠페인의 증거는 발견하지 못했습니다. 다만 Forcepoint는 여러 도메인에 걸쳐 공유되는 주입 템플릿이 "고립된 실험보다는 조직적인 도구 사용을 시사한다"고 언급했습니다. 즉, 누군가 아직 완전히 배포하지는 않았더라도 이를 위한 인프라를 구축하고 있다는 의미입니다. 하지만 Google은 더 직접적이었습니다. 연구팀은 가까운 미래에 간접 프롬프트 주입 공격의 규모와 정교함이 모두 커질 것으로 예상한다고

데이터 상태✓ 전체 내용 추출 완료원문 읽기 (Decrypt)

🔍과거 유사 사건· 키워드 + 종목 매칭2 건

2026-04-23

Caladan에 따르면, 150억 달러 규모의 붐 이후 게이머들이 유입되지 않으면서 Web3 게임의 90% 이상이 실패했다.

유사도 130%關鍵字 after/web

2026-04-20

Coinbase, 'Legendary' 직원들을 모델로 한 AI 에이전트 출시 시작

유사도 130%關鍵字 after/agents

💡 현재 키워드 + 종목 매칭(MVP) 사용 중 · 추후 embedding 의미론적 검색으로 업그레이드 예정

원본 정보

ID:e03ceb1f02

출처:Decrypt

발행:2026-04-27 17:12:13

분류:일반 · 도출된 분류 neutral

종목:지정되지 않음

커뮤니티 투표:+0 / −0 · ⭐ 0 중요 · 💬 0 댓글