FFeel.Trading
뉴스 목록Google, AI 코딩 도구의 악성 코드 실행 취약점 수정: 보고서
Decrypt2026-04-21 19:02:05

Google, AI 코딩 도구의 악성 코드 실행 취약점 수정: 보고서

ORIGINALGoogle Fixes AI Coding Tool Flaw That Let Attackers Execute Malicious Code: Report
AI 영향 분석Grok 분석 중...
📄전체 원문· trafilatura에 의해 자동 추출됨Gemini 翻譯3222 자
요약 - 연구원들이 Google의 Antigravity AI 코딩 플랫폼에서 프롬프트 인젝션 취약점을 발견했습니다. - 이 결함으로 인해 플랫폼의 Secure Mode가 활성화된 상태에서도 공격자가 명령을 실행할 수 있었습니다. - Pillar Security에 따르면, Google은 연구원들이 1월에 해당 문제를 공개한 후 2월 28일에 이를 수정했습니다. Google은 연구원들이 프롬프트 인젝션 공격을 통해 개발자의 기기에서 명령을 실행할 수 있다고 지적한 Antigravity AI 코딩 플랫폼의 취약점을 패치했습니다. 사이버 보안 기업 Pillar Security의 보고서에 따르면, 이 결함은 Antigravity의 find_by_name 파일 검색 도구와 관련이 있으며, 해당 도구는 사용자 입력을 검증 없이 기본 명령줄 유틸리티로 직접 전달했습니다. 이를 통해 악의적인 입력이 파일 검색을 명령 실행 작업으로 변환하여 원격 코드 실행을 가능하게 했습니다. Pillar Security 연구원들은 "Antigravity가 허용된 작업으로 파일을 생성할 수 있는 기능과 결합되어, 악성 스크립트를 준비한 다음 겉보기에는 합법적인 검색을 통해 이를 트리거하는 전체 공격 체인이 가능해지며, 프롬프트 인젝션이 성공하면 추가적인 사용자 상호 작용 없이도 공격이 이루어진다"고 기술했습니다. 지난 11월 출시된 Antigravity는 자율 소프트웨어 에이전트의 도움을 받아 프로그래머가 코드를 작성, 테스트 및 관리할 수 있도록 설계된 Google의 AI 기반 개발 환경입니다. Pillar Security는 1월 7일에 Google에 이 문제를 공개했고, Google은 같은 날 보고서를 접수했으며 2월 28일에 해당 문제를 해결된 것으로 표시했습니다. Google은 Decrypt의 논평 요청에 즉각 응답하지 않았습니다. 프롬프트 인젝션 공격은 콘텐츠에 포함된 숨겨진 지침이 AI 시스템으로 하여금 의도하지 않은 작업을 수행하게 할 때 발생합니다. AI 도구는 종종 외부 파일이나 텍스트를 일반적인 워크플로우의 일부로 처리하기 때문에, 시스템은 이러한 지침을 합법적인 명령으로 해석하여 공격자가 직접적인 액세스나 추가 상호 작용 없이 사용자의 기기에서 작업을 트리거할 수 있게 합니다. 거대 언어 모델에 대한 프롬프트 인젝션 공격의 위협은 지난 여름 ChatGPT 개발사인 OpenAI가 자사의 새로운 ChatGPT 에이전트가 손상될 수 있다고 경고하면서 다시 주목받게 되었습니다. OpenAI는 블로그 게시물에서 "ChatGPT 에이전트를 웹사이트에 로그인하거나 커넥터를 활성화하면 이메일, 파일 또는 계정 정보와 같은 해당 소스의 민감한 데이터에 액세스할 수 있게 된다"고 적었습니다. Antigravity 문제를 입증하기 위해 연구원들은 프로젝트 작업 공간 내에 테스트 스크립트를 생성하고 검색 도구를 통해 이를 트리거했습니다. 실행 시 스크립트는 컴퓨터의 계산기 애플리케이션을 열었으며, 이는 검색 기능이 명령 실행 메커니즘으로 전환될 수 있음을 보여주었습니다. 보고서는 "결정적으로 이 취약점은 제품의 가장 제한적인 보안 구성인 Antigravity의 Secure Mode를 우회한다"고 밝혔습니다. 이번 발견은 AI 기반 개발 도구가 자율적으로 작업을 수행하기 시작함에 따라 직면하게 된 더 넓은 보안 과제를 강조합니다. Pillar Security는 "업계는 살균 기반 제어를 넘어 실행 격리로 나아가야 한다. 셸 명령에 도달하는 모든 기본 도구 매개변수는 잠재적인 인젝션 지점"이라며, "이러한 유형의 취약점에 대한 감사는 더 이상 선택 사항이 아니며, 에이전트 기능을 안전하게 출시하기 위한 필수 조건"이라고 말했습니다.
데이터 상태✓ 전체 내용 추출 완료원문 읽기 (Decrypt)
🔍과거 유사 사건· 키워드 + 종목 매칭2 건
2026-04-22
Google Stitch 오픈소스 디자인 시스템: DESIGN.md를 통해 Claude Code, Codex, Antigravity가 고품질 UI를 생성하도록 지원
유사도 130%關鍵字 code/google
2026-04-21
Google 구성 엘리트 팀, Anthropic 추격 나서... 자사 엔지니어들도 몰래 Claude Code 사용 중
유사도 130%關鍵字 code/google
💡 현재 키워드 + 종목 매칭(MVP) 사용 중 · 추후 embedding 의미론적 검색으로 업그레이드 예정
원본 정보
ID:ea920209dd
출처:Decrypt
발행:2026-04-21 19:02:05
분류:일반 · 도출된 분류 neutral
종목:지정되지 않음
커뮤니티 투표:+0 /0 · ⭐ 0 중요 · 💬 0 댓글