본문으로 건너뛰기
피드

클로드 코드에서 다른 세션 프롬프트가 새어 나온 것 같다는 이슈

security 약 4분
vote
0
댓글
북마크

Claude Code 엔터프라이즈 ZDR 워크스페이스에서 작업하던 사용자가 갑자기 ‘마인크래프트 사원에 어떤 벽돌을 원하냐’는 식의 전혀 다른 맥락을 봤다고 제보한 GitHub 이슈다. 작성자는 워크스페이스 캐시나 세션 격리가 깨진 것인지, 혹은 소비자 계정 대화가 섞인 것인지 우려하고 있다.

  • 1

    Enterprise ZDR 워크스페이스에서 세션 또는 캐시 누수가 의심된다는 버그 리포트

  • 2

    에이전트가 현재 작업과 무관한 마인크래프트 사원 문맥을 갑자기 언급함

  • 3

    작성자는 특이한 작업 디렉터리 설정을 쓰고 있었지만, 그 문제와 외부 프롬프트 유입 의심은 다르다고 봄

  • 4

    민감한 엔터프라이즈 대화가 다른 세션으로 섞일 수 있다면 보안상 큰 이슈가 됨

  • Claude Code GitHub 이슈에 꽤 찝찝한 버그 리포트가 올라옴. Enterprise ZDR 워크스페이스에 로그인한 상태인데, 에이전트가 갑자기 자기 작업과 무관한 마인크래프트 사원 얘기를 꺼냈다는 내용임.

    • 사용자는 에이전트가 ‘어떤 벽돌을 원하냐’고 묻고, 요약에서도 마인크래프트 사원을 만들고 있다고 자신 있게 말했다고 적음.
    • 작성자 표현대로라면 자기 세션의 캐시가 아니라 동료나 소비자 계정의 대화가 섞인 것 아닌가 하는 의심이 생긴 상황임.
  • 환경 정보는 macOS, Apple Terminal, Claude Code 2.1.199로 적혀 있음.

    • Feedback ID도 포함돼 있고, 별도 에러 배열은 비어 있음.
    • 즉 크래시 로그가 있는 전형적인 버그라기보다, 모델 컨텍스트나 캐시 계층에서 이상한 맥락이 튄 케이스에 가까움.

⚠️주의

> 이게 실제 세션 누수라면 단순한 UX 버그가 아니라 엔터프라이즈 보안 이슈임. 특히 ZDR을 믿고 민감한 코드와 대화를 넣는 팀에게는 격리 보장이 제품의 핵심 약속이라서 가볍게 넘기기 어려움.

  • 작성자는 자기 설정이 좀 특이하다는 점도 같이 밝힘.

    • 작업과 무관한 디렉터리에서 세션을 시작했는데, 그 안의 .claude 디렉터리에 필요한 컨텍스트가 있어서 그렇게 했다고 함.
    • 실제 작업은 다른 디렉터리에서 진행 중이었고, 이전에는 컨텍스트 압축 이후 에이전트가 시작 디렉터리의 프로젝트를 건드린 적도 있었다고 설명함.
  • 다만 작성자는 이 두 문제를 구분하고 있음.

    • 시작 디렉터리와 실제 작업 디렉터리가 달라서 생긴 ‘이전 오염’은 자기 설정 탓으로 어느 정도 이해 가능하다고 봄.
    • 하지만 마인크래프트 관련 프롬프트가 끼어든 건 자기 프로젝트 어디에서도 나온 맥락이 아니라서 완전히 다른 종류의 문제라고 주장함.
  • 개발팀 입장에서 이 이슈가 무서운 이유는 재현이 어려운 종류의 버그라는 점임.

    • 세션 캐시, 워크스페이스 인증, 컨텍스트 압축, 로컬 설정 디렉터리, 서버 측 라우팅 중 어디서 섞였는지 겉으로는 알기 어려움.
    • 사용자는 ‘동료가 마인크래프트 사원을 만들고 있는 걸 수도 있다’고 농담했지만, 기업 환경에서는 농담으로 끝나기 힘든 시나리오임.
  • 코딩 에이전트를 회사에서 쓰는 팀이라면 이 이슈에서 바로 챙길 포인트가 있음.

    • 프로젝트별 시작 디렉터리와 실제 작업 디렉터리를 다르게 쓰는 패턴은 최대한 피하는 게 좋음.
    • 에이전트가 갑자기 모르는 요구사항, 모르는 파일, 모르는 프로젝트명을 언급하면 ‘환각’으로만 넘기지 말고 세션 격리 이슈로 기록해둘 만함.
    • ZDR이나 엔터프라이즈 플랜을 쓰더라도, 민감정보를 넣는 범위는 제품의 실제 격리 모델을 확인한 뒤 정하는 게 맞음.

확정된 보안 사고라기보다 ‘격리 경계가 정말 어디까지 보장되나’를 묻는 재현 제보에 가까움. 그래도 코딩 에이전트를 업무 환경에 붙이는 팀이라면 워크스페이스, 캐시, 컨텍스트 압축이 섞이는 지점을 꽤 진지하게 봐야 함.

댓글

댓글

댓글을 불러오는 중...

security

유튜브 스튜디오 AI, 댓글 하나로 비공개 영상 제목까지 새게 만들 수 있었다

유튜브 스튜디오의 AI 도우미 Ask Studio가 댓글을 신뢰 경계 없이 읽으면서 저장형 프롬프트 인젝션에 노출됐다는 제보 사례다. 공격자는 평범한 댓글을 나중에 악성 지시문으로 수정하고, 크리에이터가 구글이 만든 추천 프롬프트를 누르는 순간 AI 응답에 공격자 문구와 링크를 끼워 넣을 수 있었다. 작성자는 비공개 영상 제목을 URL 파라미터로 빼내는 PoC까지 만들었지만, 구글은 이를 보안 버그로 보지 않았다고 한다.

security

클라우드 전환은 빨라졌는데, 보안 운영은 아직 온프레미스 감각에 머물러 있다

국내 클라우드 시장은 공공 전환, AI 수요, SaaS 확산을 타고 빠르게 커지고 있지만 보안 운영은 그 속도를 따라가지 못하고 있어. 설문에서는 클라우드 보안 사고 경험 조직이 17.9%였고, 사고 원인 중 35.7%가 설정 오류와 취약한 접근관리로 나타났어.

security

클라우드에서 데이터가 처리되는 순간까지 지키는 기밀 컴퓨팅이 뜨는 이유

기밀 컴퓨팅은 저장 중이거나 전송 중인 데이터뿐 아니라, 실제 처리되는 동안의 데이터까지 보호하려는 기술이야. 신뢰 실행 환경(TEE), 원격 증명, 암호화, 접근 제어를 통해 클라우드 사업자나 권한이 큰 공격자도 민감 데이터에 접근하기 어렵게 만드는 게 핵심이야.

security

취약점 찾는 AI에서 고치는 AI로, 기업 보안의 ‘수정 공백’을 줄이려는 시도

코그니전트와 오픈AI가 GPT-5.5와 사이버용 신뢰 액세스를 활용한 프런티어 AI 사이버 디펜스 서비스를 발표했다. 취약점 발견에 그치지 않고 검증, 영향 분석, 수정 검토, 보안 운영 절차 반영까지 이어지는 ‘수정 공백’을 줄이는 게 핵심이다.

security

유럽의회 스파이웨어 조사위원도 Pegasus에 털렸다

Citizen Lab이 유럽의회 의원 Stelios Kouloglou의 iPhone을 포렌식한 결과, 그가 PEGA 위원회 활동 중 Pegasus 스파이웨어에 감염됐다고 밝혔다. 감염 시점은 2022년 10월 21일, 2023년 3월 6~7일이며, 위원회의 보고서 작성과 청문회 준비가 한창이던 시기와 겹친다.