Claude Code 에이전트를 겨냥한 새로운 MCP 핸드셰이크 위조 프롬프트 인젝션 공격 발견

이 요약은 AI가 원문을 분석해 생성했습니다. 정확한 내용은 원문 기준으로 확인하세요.

핵심 요약

Claude Code 에이전트 운용 중 MCP 핸드셰이크를 위조하여 악의적인 지시를 주입하는 새로운 유형의 프롬프트 인젝션 공격 사례가 보고되었다.

배경

작성자가 Claude Code 에이전트를 매일 실행하며 관찰하던 중, 검색 결과 내에 숨겨진 가짜 MCP 서버 지시 블록을 통해 에이전트의 동작을 왜곡하려는 공격 패턴을 발견하여 이를 공유했다.

의미 / 영향

이 토론은 AI 에이전트가 외부 도구와 결합될 때 발생하는 보안 취약점이 단순한 텍스트 입력을 넘어 프로토콜 수준의 위조로 진화했음을 보여준다. 실무적으로는 에이전트의 컨텍스트 주입 과정을 설계할 때 모든 외부 유입 데이터를 비신뢰 대상으로 취급하는 제로 트러스트 원칙의 적용이 시급하다.

커뮤니티 반응

작성자가 직접 발견한 구체적인 로그와 공격 패턴(context7 지문)을 공유함에 따라, 에이전트 보안에 대한 실질적인 경각심을 불러일으키고 있다.

주요 논점

01찬성다수

에이전트가 외부 데이터를 처리할 때 발생하는 모든 지시어 형태의 입력을 잠재적 위협으로 간주하고 엄격히 필터링해야 한다.

합의점 vs 논쟁점

합의점

에이전트가 신뢰하는 로컬 컨텍스트나 시스템 메시지 채널조차 이제는 인젝션 공격의 대상이 될 수 있다.
보안 감시 과정에서 발생하는 오탐은 감수할 수 있는 수준이며, 공격을 놓치는 것보다 안전하다.

논쟁점

공격이 검색 엔진의 인덱스를 직접 겨냥한 것인지, 아니면 웹사이트들에 공통으로 삽입된 특정 스크립트를 통한 것인지에 대한 정확한 유포 경로는 아직 불분명하다.

실용적 조언

에이전트 운용 시 외부 웹 검색 결과(WebFetch 등)에 포함된 MCP 핸드셰이크 패턴이나 시스템 명령어를 감시하는 로직을 추가하라.
에이전트가 '사용자에게 알리지 마라'는 식의 숨겨진 지시를 발견할 경우 즉시 실행을 중단하고 경고를 표시하도록 설정하라.

섹션별 상세

작성자는 검색 결과 내에 포함된 가짜 MCP 서버 지시 블록이 실제 MCP 서버인 context7으로의 리다이렉션을 유도하는 핸드셰이크 위조를 시도했음을 확인했다. 공격은 에이전트가 도구 실행 결과를 처리하는 과정에서 외부의 악의적인 지시사항을 신뢰할 수 있는 컨텍스트로 오인하게 만드는 방식으로 작동한다. 5일간 13개의 서로 다른 워크스트림에서 총 22건의 유사 사례가 탐지되었으며, 이는 특정 사이트가 아닌 광범위한 웹 콘텐츠에 이식된 것으로 분석된다.

공격 패턴은 단순한 검색 결과 위조를 넘어 로컬 프로젝트 규칙이나 시스템 리마인더 블록을 사칭하는 단계로 진화하고 있다. 에이전트가 로컬 컨텍스트를 읽어올 때 가짜 가이드를 삽입하거나, 사용자에게 알리지 말라는(do-not-tell-the-user) 조항이 포함된 가짜 시스템 메시지를 주입하여 에이전트의 상태 추적을 방해한다. 이러한 방식은 에이전트가 신뢰하는 모든 채널이 잠재적인 인젝션 경로가 될 수 있음을 시사한다.

방어 전략으로서 핸드셰이크 채널이 아닌 곳에서 유입되는 모든 지시 형태의 콘텐츠를 인젝션으로 간주하는 감시 지시어(watch directive) 도입이 제안되었다. 실제 운영 과정에서 Next.js 데모의 HTTP 응답이나 배너 스크립트가 공격 패턴으로 오인되는 오탐(False Positive) 사례가 발생했으나, 보안 실패(False Negative)의 위험 비용이 훨씬 크다는 점이 강조되었다. 작성자는 탐지 로직의 한계를 인정하면서도 이러한 가시성 확보가 에이전트 보안의 핵심임을 확인했다.

실무 Takeaway

MCP 핸드셰이크를 모방하여 에이전트를 가짜 서버로 유도하거나 지시를 주입하는 새로운 공급망 공격 형태의 프롬프트 인젝션이 실재한다.
공격은 Anthropic 문서, Cloudflare 문서, 포트폴리오 사이트 등 신뢰도가 높은 다양한 웹 페이지의 응답에 숨겨져 유포되고 있다.
에이전트가 외부 데이터를 수신할 때 지시어 형태의 패턴을 엄격히 감시하고, 신뢰할 수 없는 채널의 명령 수행을 차단하는 방어 로직이 필수적이다.

언급된 도구

Claude Code추천

자율 코딩 및 연구 수행을 위한 에이전트 인스턴스

context7중립

공격자가 사칭 대상으로 삼은 실제 MCP 서버

언급된 리소스

문서Three Readers Injected (상세 로그 및 분석 보고서)

이 요약은 AI가 원문을 분석해 생성했습니다. 정확한 내용은 원문 기준으로 확인하세요.

핵심 요약

Claude Code 에이전트 운용 중 MCP 핸드셰이크를 위조하여 악의적인 지시를 주입하는 새로운 유형의 프롬프트 인젝션 공격 사례가 보고되었다.

배경

의미 / 영향

커뮤니티 반응

작성자가 직접 발견한 구체적인 로그와 공격 패턴(context7 지문)을 공유함에 따라, 에이전트 보안에 대한 실질적인 경각심을 불러일으키고 있다.

주요 논점

01찬성다수

에이전트가 외부 데이터를 처리할 때 발생하는 모든 지시어 형태의 입력을 잠재적 위협으로 간주하고 엄격히 필터링해야 한다.

합의점 vs 논쟁점

합의점

에이전트가 신뢰하는 로컬 컨텍스트나 시스템 메시지 채널조차 이제는 인젝션 공격의 대상이 될 수 있다.
보안 감시 과정에서 발생하는 오탐은 감수할 수 있는 수준이며, 공격을 놓치는 것보다 안전하다.

논쟁점

공격이 검색 엔진의 인덱스를 직접 겨냥한 것인지, 아니면 웹사이트들에 공통으로 삽입된 특정 스크립트를 통한 것인지에 대한 정확한 유포 경로는 아직 불분명하다.

실용적 조언

에이전트 운용 시 외부 웹 검색 결과(WebFetch 등)에 포함된 MCP 핸드셰이크 패턴이나 시스템 명령어를 감시하는 로직을 추가하라.
에이전트가 '사용자에게 알리지 마라'는 식의 숨겨진 지시를 발견할 경우 즉시 실행을 중단하고 경고를 표시하도록 설정하라.

섹션별 상세

실무 Takeaway

MCP 핸드셰이크를 모방하여 에이전트를 가짜 서버로 유도하거나 지시를 주입하는 새로운 공급망 공격 형태의 프롬프트 인젝션이 실재한다.
공격은 Anthropic 문서, Cloudflare 문서, 포트폴리오 사이트 등 신뢰도가 높은 다양한 웹 페이지의 응답에 숨겨져 유포되고 있다.
에이전트가 외부 데이터를 수신할 때 지시어 형태의 패턴을 엄격히 감시하고, 신뢰할 수 없는 채널의 명령 수행을 차단하는 방어 로직이 필수적이다.

언급된 도구

Claude Code추천

자율 코딩 및 연구 수행을 위한 에이전트 인스턴스

context7중립

공격자가 사칭 대상으로 삼은 실제 MCP 서버

언급된 리소스

문서Three Readers Injected (상세 로그 및 분석 보고서)

Claude Code 에이전트를 겨냥한 새로운 MCP 핸드셰이크 위조 프롬프트 인젝션 공격 발견

핵심 요약

배경

의미 / 영향

커뮤니티 반응

주요 논점

합의점 vs 논쟁점

합의점

논쟁점

실용적 조언

섹션별 상세

실무 Takeaway

언급된 도구

언급된 리소스

Claude Code 에이전트를 겨냥한 새로운 MCP 핸드셰이크 위조 프롬프트 인젝션 공격 발견

핵심 요약

배경

의미 / 영향

커뮤니티 반응

주요 논점

합의점 vs 논쟁점

합의점

논쟁점

실용적 조언

섹션별 상세

실무 Takeaway

언급된 도구

언급된 리소스

관련 토론

댓글

관련 피드

관련 토론

댓글

관련 피드