🔓 AI한테 일시켰다가 전재산 털림 ㅅㄱ

안녕하세요, BQ개발자입니다.

좀 자극적인 제목인데요, 꼭 주의해야할 내용이있어서 가져왔습니다.

Claude Code, Cursor 쓰면서 AI가 알아서 패키지 설치해주는 거 되게 편하잖아요. 최소 1,000개 이상의 기업 SaaS환경에서 SSH 키, 클라우드 토큰, 크립토 지갑, 환경변수 전부 털리는 일이 있었어서 한번 고민해보고자 전달드립니다

📝 litellm은 월 9700만 다운로드짜리 파이썬 패키지예요. AI API 통합할 때 많이 씀.

🤔월 9,700만 다운로드 패키지에 악성 코드가 들어간 방법

공격 흐름:

• 공격자가 litellm 직접 안 건드리고 → litellm 팀이 쓰는 보안 스캐너 Trivy를 먼저 감염
• Trivy는 빌드 파이프라인에서 돌아가는데 거기에 PyPI 배포 자격증명이 있음
• 자격증명 탈취 → 공식 PyPI에 악성 버전 정상 배포
• 악성 코드는 .pth 파일 방식으로 심겨서 → import litellm 안 해도, python 켜지는 순간 자동 실행

결과적으로 Cursor나 Claude Code가 litellm을 의존성으로 끌어오면 → 개발자가 아무것도 안 했어도 실행됨

⚠️ 바이브 코딩이 이걸 왜 더 위험하게 만드는가

AI 에이전트는 개발자의 전체 권한(ambient authority)으로 동작합니다.
개발자가 AWS 접근 권한이 있으면 에이전트도 같은 권한으로 패키지를 설치하고 실행해요.

문제는 이 권한 행사 과정에서 인지적 마찰이 제거된다는 거예요. 개발자가 직접 pip install을 칠 때는 "이 패키지가 맞나?", "이 버전이 검증됐나?"가 자연스럽게 개입되는데, AI가 "이 패키지 설치할까요?"라고 물으면 Yes/No만 남습니다. 반복되면 그마저도 무감각해지고요.


✍️ 개인적으로 생각하는 것

이 사건이 불편한 이유는 "그러면 뭘 조심해야 하는가"에 명확한 답이 없어서인 것 같아요.

공식 PyPI, 다운로드 수, 잘 알려진 패키지 — 이게 안전 기준이 아닐 수 있다는 거잖아요. <- 여기서 먹거리 하나 나올것같아서 파보는 ing

기술적으로는 JIT 권한 발급(태스크별 최소 권한 + 완료 후 폐기), SHA256 해시 기반 의존성 고정, 격리된 샌드박스 환경이 대응책으로 보이는데... 현실에서 얼마나 적용 가능한지는 솔직히 모르겠지만 더 공부해보고 오겠습니다 🔥

---

여러분의 좋아요와 공유는 사랑입니다 😍

#BQ개발자 #AI #바이브코딩 #공급망공격 #보안