AI 보안 취약점

클로드 데스크톱 익스텐션은 샌드박스가 없는 아키텍처로 인해 간접 프롬프트 인젝션을 기반으로 제로 클릭 원격 코드 실행 취약점이 발생하고, AI 에이전트에 전체 시스템 권한이 부여됩니다. 이 취약점은 신뢰 경계가 없는 MCP 프로토콜의 설계 결함을 악용하여 공격자가 외부 데이터 소스를 오염시켜 임의의 코드를 실행할 수 있게 해줍니다. 위험 등급이 가장 높았음에도 불구하고 해당 공급업체는 "위협 모델 외부"라는 이유로 취약점 수정을 거부하여 AI 시대의 보안 책임 분담에 대한 광범위한 논란을 불러 일으켰습니다. 이 사례는 권한 제어 및 입력 유효성 검사 측면에서 AI 에이전트 시스템의 근본적인 보안 위험을 강조합니다.
주요 사항은 다음과 같습니다:
1. 높은 권한 샌드박스가 없는 아키텍처: Claude DXT는 브라우저 샌드박스에서 분리된 로컬 MCP 서버로 실행되며, 사용자로부터 모든 시스템 권한을 상속받아 고위험 공격 표면을 생성합니다.
2. 제로 클릭 간접 프롬프트 주입: 공격자는 Google 캘린더와 같은 합법적인 데이터 소스에 악성 명령을 삽입하여 사용자 개입 없이도 AI 에이전트가 이를 획득하고 실수로 실행하도록 유도합니다.
3. MCP 프로토콜 신뢰 경계 실패: 모델 컨텍스트 프로토콜은 저위험 작업의 출력이 고위험 시스템 호출을 직접 트리거할 수 있도록 허용하여 AI를 공격의 발판으로 만드는 '난독화된 에이전트' 취약점을 초래합니다.

CVE-2025-34291은 보안 점수가 CVSS v4.0: 9.4인 Langflow AI 에이전트 및 워크플로 플랫폼에서 발견된 중요한 취약점 체인입니다. 이 취약점을 통해 공격자는 사용자가 악성 웹 페이지를 방문하도록 유도하여 Langflow 인스턴스의 전체 계정 탈취 및 원격 코드 실행(RCE)을 달성할 수 있습니다.