[보안뉴스 김형근 기자] 앤트로픽 클로드 AI에서 간접 프롬프트 주입 공격을 통해 민감한 사용자 데이터를 해커 계정으로 빼돌릴 수 있는 취약점이 발견됐다.
[자료: 엔트로픽]
이는 클로드 코드 인터프리터 도구에 새로 추가된 네트워크 접근 기능에서 기인한다. 보안연구 전문가 요한 레베르거는 클로드 기본 설정인 ‘패키지 관리자만 허용’ 이 api.anthropic.com을 포함한 승인된 도메인에 네트워크 접근을 허용하면서 보안 백도어를 열었다고 지적했다.
‘기억’ 기능과 API 악용한 공격 사슬
공격자는 사용자가 분석을 요청한 파일 등 겉으로는 무해해 보이는 콘텐츠에 악성 지침을 숨겨 공격을 시작한다. 이렇게 주입된 간접 프롬프트는 클로드의 ‘메모리’ 기능을 악용, AI에게 최근 대화 데이터를 추출해 샌드박스에 파일로 저장하도록 명령한다.
이어 클로드가 파이썬 코드를 실행하도록 강제한다. 이 코드는 공격자의 API 키를 환경 변수에 설정한 후, 클로드의 파일(Files) API를 통해 샌드박스에 저장된 훔친 파일을 공격자 자신의 계정에 업로드한다. 이 과정에서 피해자의 인증 절차를 우회하게 된다.
레베르거 연구원은 이 취약점을 앤트로픽에 책임 있게 공개했지만, 회사는 초기에는 ‘모델 안전 문제’로 간주해 범위를 벗어났다며 기각했다가 며칠 후 유효한 취약점으로 인정했다.
보안 전문가들은 이를 강력한 AI 모델, 외부 접근, 프롬프트 기반 제어가 결합된 ‘치명적인 삼중 위협’의 일부로 보고 API 호출을 로그인 사용자 계정에만 한정하도록 샌드박스 규칙을 강화할 것을 권고했다. 또 사용자는 네트워크 접근을 최소화하거나 비활성하도록 조언했다.
[김형근 기자(editor@boannews.com)]
[자료: 엔트로픽]
이는 클로드 코드 인터프리터 도구에 새로 추가된 네트워크 접근 기능에서 기인한다. 보안연구 전문가 요한 레베르거는 클로드 기본 설정인 ‘패키지 관리자만 허용’ 이 api.anthropic.com을 포함한 승인된 도메인에 네트워크 접근을 허용하면서 보안 백도어를 열었다고 지적했다.
‘기억’ 기능과 API 악용한 공격 사슬
공격자는 사용자가 분석을 요청한 파일 등 겉으로는 무해해 보이는 콘텐츠에 악성 지침을 숨겨 공격을 시작한다. 이렇게 주입된 간접 프롬프트는 클로드의 ‘메모리’ 기능을 악용, AI에게 최근 대화 데이터를 추출해 샌드박스에 파일로 저장하도록 명령한다.
이어 클로드가 파이썬 코드를 실행하도록 강제한다. 이 코드는 공격자의 API 키를 환경 변수에 설정한 후, 클로드의 파일(Files) API를 통해 샌드박스에 저장된 훔친 파일을 공격자 자신의 계정에 업로드한다. 이 과정에서 피해자의 인증 절차를 우회하게 된다.
레베르거 연구원은 이 취약점을 앤트로픽에 책임 있게 공개했지만, 회사는 초기에는 ‘모델 안전 문제’로 간주해 범위를 벗어났다며 기각했다가 며칠 후 유효한 취약점으로 인정했다.
보안 전문가들은 이를 강력한 AI 모델, 외부 접근, 프롬프트 기반 제어가 결합된 ‘치명적인 삼중 위협’의 일부로 보고 API 호출을 로그인 사용자 계정에만 한정하도록 샌드박스 규칙을 강화할 것을 권고했다. 또 사용자는 네트워크 접근을 최소화하거나 비활성하도록 조언했다.
[김형근 기자(editor@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
