Snowflake가 자사의 Cortex AI 에이전트에서 발견된 심각한 보안 취약점을 해결했다. 이는 프롬프트 인젝션 공격이 안전 필터를 우회하여 멀웨어를 실행할 수 있다는 보고서가 발표된 데 따른 조치다. 보안 사고는 에이전트가 GitHub 저장소를 요약하도록 설정되었을 때 발생했으며, README 파일에 숨겨진 악성 지시어가 시스템을 속여 무단 셸 명령어를 실행하게 만들었다.

해당 공격은 인간의 감독 없이 실행 가능한 '허용 목록(allow-list)' 명령어를 정조준했다는 점에서 시사하는 바가 크다. 파일 내용을 출력하는 cat 명령어는 목록에 포함된 안전한 명령어였으나, 공격자는 '프로세스 치환(Process Substitution)' 기법을 사용했다. 이 정교한 셸 구문은 특정 명령어의 출력을 임시 파일처럼 취급하게 하여, AI가 무해한 작업으로 인식하는 과정 중에 악성 스크립트를 끼워 넣는 방식을 취했다.

해당 사건은 패턴 매칭이나 제한된 명령어 목록에만 의존하는 보안 모델의 한계를 드러냈다. 소프트웨어 개발자이자 Django의 공동 제작자인 사이먼 윌리슨(Simon Willison) 등 보안 연구원들은 AI 에이전트가 반드시 결정론적 샌드박스(Deterministic Sandbox) 내에서 구동되어야 한다고 조언한다. 에이전트의 실행 환경을 메인 시스템과 완전히 격리하면 프롬프트 인젝션이 발생하더라도 근본적인 인프라 손상을 막을 수 있기 때문이다.

Snowflake가 자사의 Cortex AI 에이전트에서 발견된 심각한 보안 취약점을 해결했다. 이는 프롬프트 인젝션 공격이 안전 필터를 우회하여 멀웨어를 실행할 수 있다는 보고서가 발표된 데 따른 조치다. 보안 사고는 에이전트가 GitHub 저장소를 요약하도록 설정되었을 때 발생했으며, README 파일에 숨겨진 악성 지시어가 시스템을 속여 무단 셸 명령어를 실행하게 만들었다.

해당 공격은 인간의 감독 없이 실행 가능한 '허용 목록(allow-list)' 명령어를 정조준했다는 점에서 시사하는 바가 크다. 파일 내용을 출력하는 cat 명령어는 목록에 포함된 안전한 명령어였으나, 공격자는 '프로세스 치환(Process Substitution)' 기법을 사용했다. 이 정교한 셸 구문은 특정 명령어의 출력을 임시 파일처럼 취급하게 하여, AI가 무해한 작업으로 인식하는 과정 중에 악성 스크립트를 끼워 넣는 방식을 취했다.

해당 사건은 패턴 매칭이나 제한된 명령어 목록에만 의존하는 보안 모델의 한계를 드러냈다. 소프트웨어 개발자이자 Django의 공동 제작자인 사이먼 윌리슨(Simon Willison) 등 보안 연구원들은 AI 에이전트가 반드시 결정론적 샌드박스(Deterministic Sandbox) 내에서 구동되어야 한다고 조언한다. 에이전트의 실행 환경을 메인 시스템과 완전히 격리하면 프롬프트 인젝션이 발생하더라도 근본적인 인프라 손상을 막을 수 있기 때문이다.