앤트로픽의 클로드 인 크롬 확장 프로그램이 악성 확장 프로그램에 의해 탈취될 수 있다는 보안 경고가 나왔다. 레이어엑스 보안의 연구원들은 클로드의 과도하게 신뢰된 브라우저 통신 흐름이 악용되어 스크립트를 주입할 수 있으며, 이는 어시스턴트의 역량을 탈취하고 브라우징 세션을 조작할 수 있다고 경고했다.

레이어엑스는 이 결함을 “클로드블리드”라고 명명했다.

레이어엑스 연구원 아비아드 기스판은 블로그 게시물에서 “레이어엑스가 이 결함을 앤트로픽에 보고했다”며 “앤트로픽은 이미 이 문제를 인식하고 있으며 다음 버전의 확장 프로그램에서 수정될 것이라고 응답했다”고 밝혔다. 다만 기스판은 앤트로픽의 수정이 부분적이어서 이 결함은 여전히 악용될 수 있다고 덧붙였다.

게시물에서는 구글 드라이브 폴더에서 외부인으로 파일을 보내기, 원격 공격자를 대신해 이메일 전송하기, 깃허브의 비공개 저장소에서 코드 탈취하기, 이메일을 요약해 외부 사용자로 보내기 등 결함을 악용할 수 있는 다양한 방법을 시연했다.

매니폴드 시큐리티의 연구 책임자 악스 샤르마는 “클로드블리드는 AI 에이전트를 프롬프트 레이어에서만 모니터링하는 것이 근본적으로 불충분한 이유를 보여주는 유용한 사례”라고 말했다. “이 공격에서 가장 정교한 부분은 주입이 아니라 에이전트의 인식된 환경을 조작해 내부에서는 정당해 보이는 작업을 수행하게 했다는 것이다. 업계가 방어 체계를 구축해야 하는 위협이 바로 이 유형이다.”

악의적으로 주입된 명령, 공격으로 이어져

기스판은 문제의 원인이 확장 프로그램 코드에 있는 명령어로, 브라우저 출처에서 실행 중인 임의의 스크립트가 클로드의 대규모 언어 모델과 통신할 수 있다고 설명했다. 그러나 코드에는 스크립트를 실행하는 대상이 누구인지 확인하는 요소가 없다.

이로 인해 특별한 권한 없이도 모든 확장 프로그램이 악의적인 스크립트를 실행할 수 있으며, 클로드 확장에 명령을 내릴 수 있다.

기스판은 “확장 프로그램이 ‘externally_connectable’을 통해 특권 메시지 인터페이스를 메인 claude.ai 대규모 언어 모델에 노출하는데, 이는 어떤 외부 웹사이트나 확장이 확장과 통신할 수 있는지 정의하는 매니페스트 설정이다”며 “출처(claude.ai)를 신뢰하는 것이지 실제 실행 컨텍스트를 신뢰하지는 않는다”고 설명했다.

결과적으로 ‘최소한의’ 확장이라도 임의의 프롬프트를 실행하고, 클로드의 대규모 언어 모델 보호 장치를 우회하고, 사용자 확인 흐름을 건너뛰고, 클로드의 UI 인식을 조작하고, 민감한 크로스 사이트 작업(지메일, 구글 드라이브, 깃허브)을 수행할 수 있다.

기스판은 “이 취약점은 크롬의 확장 보안 모델을 효과적으로 무력화함으로써 권한 없는 확장이 신뢰할 수 있는 AI 어시스턴트의 역량을 상속받을 수 있게 한다”고 지적했다.

앤트로픽의 수정, 완전하지 않아

앤트로픽은 5월 6일 패치가 포함된 업데이트 버전(1.0.70)을 출시했지만 함정이 있었다.

기스판은 업데이트에서 앤트로픽이 확장이 원격 명령을 실행하는 것을 방지하기 위한 내부 보안 검사 계층을 추가했지만, 검사가 ‘표준’ 모드에만 적용된다고 설명했다. 확장을 명시적인 사용자 허락이나 알림이 필요 없는 ‘특권’ 모드로 전환하면 노출을 다시 초래할 수 있으며, 이전과 동일하게 명령을 실행할 수 있다.

앤트로픽은 영향을 받는 메시지 핸들러를 제거할 업데이트를 약속한 것으로 알려졌다. 기스판은 회사로부터의 소통을 인용해 “영향을 받는 메시지 핸들러를 제거하는 수정이 병합되었으며 다가오는 확장 릴리즈에서 배포될 것”이라고 말했다.

그러나 수정은 약속에 못 미쳤다. 기스판은 “초기 응답과 달리 ‘externally_connectable’ 메시지 핸들러는 제거되지 않았지만, 앤트로픽이 특권 작업을 위한 추가 승인 흐름을 도입했다”고 덧붙였다.

앤트로픽은 CSO의 의견 요청에 즉시 응하지 않았다.

레이어엑스는 확장 간 페이지 인증 토큰(서명된 요청 등) 도입, ‘externally_connectable’ 권한을 출처 대신 신뢰할 수 있는 확장 ID로 제한, 사용자 승인을 특정 작업과 일회용 토큰에 연결하는 등 여러 완화 조치를 권장했다.
dl-itworldkorea@foundryco.com