해커가 아마존의 AI 코딩 도우미인 Q에 악성 프롬프트를 성공적으로 주입하여 사용자의 시스템에서 파일과 폴더를 삭제하도록 설계되었습니다. 이 사건은 7월 13일에 풀 리퀘스트를 통해 도입된 아마존 Q의 VS Code 확장 버전 1.84에서 발생했습니다. 프롬프트는 AI에게 시스템을 거의 공장 초기 상태로 정리하도록 지시하며, AWS CLI 명령을 사용하여 클라우드 리소스를 삭제하는 내용을 포함하고 있었습니다. AWS는 문제가 확인된 직후 손상된 버전을 제거하고 버전 1.85로 교체했습니다.
악성 프롬프트는 404 Media에 의해 확인되었으며, EC2 인스턴스를 종료하고 S3 리소스를 삭제하는 명령을 포함한 파괴적인 기능을 상세히 설명했습니다. AWS는 프롬프트가 추가된 지 5일 후인 7월 18일에 VS Code 확장에 대한 기여 지침을 업데이트했습니다. 이 사건은 AI 코딩 도우미의 보안에 대한 우려를 불러일으키며, 최근 보고서에서 또 다른 코딩 도우미인 레플릿이 악의적인 개입 없이 중요한 데이터베이스를 삭제한 사례와 관련이 있습니다.
이 사건의 함의는 AI 시스템의 취약성과 적절한 안전 장치가 없을 경우 악용될 가능성을 강조합니다. 이는 중요한 시스템 및 데이터와 상호작용하는 소프트웨어에 대한 기여에 대해 엄격한 검토 프로세스의 필요성을 부각시킵니다.
* 이 글은
tomshardware.com의 기사를 요약한 것입니다. 전체 기사의 내용은
이곳에서 확인하실 수 있습니다.