저숙련 공격자가 Claude Code와 Codex를 사용하여 14개 기업 침해

OALABS의 연구원들은 침해된 서버에서 복구된 1,000개 이상의 AI 에이전트 (AI agent) 세션을 분석했으며, 저숙련 공격자가 공격적인 사이버 작전 (offensive cyber operations) 중에 Claude Code와 OpenAI Codex를 사용했다는 사실을 발견했습니다.

보고서에 따르면, 공격자는 종종 단순한 프롬프트 (prompts)를 사용한 반면, 에이전트들은 정찰 (reconnaissance), 취약점 발견 (vulnerability discovery), 익스플로잇 개발 (exploit development) 및 데이터 수집 (data collection)을 수행했습니다.

연구원들은 이 활동이 최소 14개 조직과 관련이 있다고 주장합니다. 또한 그들은 요청을 승인된 보안 연구 또는 레드팀 (red team) 연습으로 프레이밍함으로써 많은 가드레일 (guardrails)이 우회되었다는 것을 발견했습니다.

이 보고서에서 가장 흥미로운 부분 중 하나는 공격자가 AI 안전 메커니즘 (AI safety mechanisms)을 통해서가 아니라, 그들 자신의 운영 보안 (operational security) 실수로 인해 최종적으로 식별되었다는 점입니다.

연구 (Research)

이것은 Claude에 관한 이야기라기보다, 숙련되지 않은 운영자의 손에 들어간 유능한 코딩 에이전트 (coding agents)가 무엇을 가능하게 할지에 대한 예고편처럼 느껴집니다.
submitted by /u/BuildwithVignesh
[link] [comments]