공유된 기사
"GitHub MCP 서버의 프롬프트 인젝션 취약성 경고: 개인 저장소 정보 유출 위험"
Github스위스 취리히에 위치한 Invariant Labs의 연구팀은 GitHub의 MCP(Model Context Protocol) 서버에서 프롬프트 인젝션 취약점을 발견했다고 경고했다. 이 문제는 GitHub MCP 서버 코드의 결함이 아니라 구조적 문제로, 개발자가 에이전트의 행동을 주의 깊게 확인하고 승인하면 피할 수 있다. 그러나 많은 사용자가 "항상 허용" 정책을 선택할 가능성이 높다고 연구원들은 지적했다. 이 취약점은 공용 및 비공개 저장소에서 활동하는 개발자가 AI 에이전트를 비공개 저장소에 대한 권한으로 설정했을 때 발생할 수 있다.
공격자는 공용 저장소에 악의적인 이슈를 게시할 수 있으며, 이 이슈에는 개인 저장소의 정보를 공용 저장소에 게시하라는 프롬프트가 포함될 수 있다. 개발자가 AI 에이전트에게 공용 저장소의 문제를 확인하고 수정하도록 요청하면, 에이전트는 이 악성 이슈를 발견하고 비공개 저장소의 일부 정보를 공개할 수 있다. 이러한 공격은 복잡성이 낮지만 잠재적인 피해가 크다. 연구원들은 AI 에이전트가 세션당 하나의 저장소에만 접근하도록 하거나 최소 권한 접근 토큰을 부여하는 등의 규칙으로 문제를 완화할 수 있다고 제안했다.
오픈 소스 개발자 Simon Willison은 이 문제를 "프롬프트 인젝션의 치명적인 삼중주"라고 설명하며, 프라이빗 데이터 접근, 악의적인 지시 노출, 정보 유출 가능성을 지적했다. Willison은 MCP의 프롬프트 인젝션 위험에 대해 이전에도 경고했으며, 업계가 2년 반 이상 이 위험을 알고 있었음에도 불구하고 아직 설득력 있는 해결책이 없다고 말했다. GitHub MCP 서버는 오픈 소스로 제공되며, 최근 제안된 해결책으로는 에이전트가 푸시 권한이 있는 사용자로부터의 이슈, 풀 리퀘스트, 댓글 및 토론에만 접근하도록 하는 필터 추가가 있다. 그러나 이는 유용한 기여를 걸러낼 가능성이 있어 완벽한 해결책은 아니다.
공격자는 공용 저장소에 악의적인 이슈를 게시할 수 있으며, 이 이슈에는 개인 저장소의 정보를 공용 저장소에 게시하라는 프롬프트가 포함될 수 있다. 개발자가 AI 에이전트에게 공용 저장소의 문제를 확인하고 수정하도록 요청하면, 에이전트는 이 악성 이슈를 발견하고 비공개 저장소의 일부 정보를 공개할 수 있다. 이러한 공격은 복잡성이 낮지만 잠재적인 피해가 크다. 연구원들은 AI 에이전트가 세션당 하나의 저장소에만 접근하도록 하거나 최소 권한 접근 토큰을 부여하는 등의 규칙으로 문제를 완화할 수 있다고 제안했다.
오픈 소스 개발자 Simon Willison은 이 문제를 "프롬프트 인젝션의 치명적인 삼중주"라고 설명하며, 프라이빗 데이터 접근, 악의적인 지시 노출, 정보 유출 가능성을 지적했다. Willison은 MCP의 프롬프트 인젝션 위험에 대해 이전에도 경고했으며, 업계가 2년 반 이상 이 위험을 알고 있었음에도 불구하고 아직 설득력 있는 해결책이 없다고 말했다. GitHub MCP 서버는 오픈 소스로 제공되며, 최근 제안된 해결책으로는 에이전트가 푸시 권한이 있는 사용자로부터의 이슈, 풀 리퀘스트, 댓글 및 토론에만 접근하도록 하는 필터 추가가 있다. 그러나 이는 유용한 기여를 걸러낼 가능성이 있어 완벽한 해결책은 아니다.