175k+ 스타 오픈소스 프로젝트의 보안 스캐너를 기본 난독화로 전부 우회했습니다 cp["exec"]("whoami") 이 한 줄이 9개 보안 룰을 전부 통과합니다 동적 프로퍼티 접근을 검사하지 않기 때문입니다 수정 PR을 제출…

요약

본 기사는 'cp["exec"]("whoami")'와 같은 간단한 코드가 175k개 이상의 스타를 가진 오픈소스 프로젝트의 보안 스캐너 9가지 규칙을 모두 우회할 수 있음을 보여줍니다. 이는 보안 스캐너들이 동적 프로퍼티 접근과 같은 특정 고급 공격 패턴을 제대로 검사하지 못하는 취약점을 이용한 것입니다. 필자는 이 발견을 바탕으로 LLM 생태계 전반의 프롬프트 인젝션 방어 메커니즘 개선의 필요성을 제기하고 있습니다.

핵심 포인트

• 단순한 코드로 다수의 오픈소스 보안 스캐너를 우회할 수 있음.
• 보안 취약점은 주로 동적 프로퍼티 접근 검사 누락에서 발생함.
• 이러한 공격 기법은 LLM 생태계의 프롬프트 인젝션 방어에 대한 근본적인 재검토가 필요함을 시사함.