주요 AI 툴 9종, 대규모 봇넷 구성에 악용 가능
원제: Hackers can use 9 of the most popular AI tools to assemble massive botnets
왜 중요한가
AI 코딩 에이전트의 자율 실행 환경이 확산되는 가운데, 개별 타겟팅 없이 대규모 감염이 가능한 신형 공격 벡터의 존재가 처음으로 실증되었다는 점에서 산업 전반의 보안 대응이 시급하다.
보안 연구자들이 2026년 7월 8일, Cursor・GitHub Copilot・Gemini CLI 등 인기 AI 코딩 어시스턴트 9종에서 'HalluSquatting'이라는 신형 프롬프트 인젝션 공격이 가능함을 논문으로 발표했다. 이 공격은 LLM의 할루시네이션을 악용해 대규모 봇넷 구성과 DDoS 공격을 가능하게 하는 최초의 풀 기반(pull-based) 사례다。
연구자들이 발표한 'HalluSquatting(적대적 할루시네이션 스쿼팅)' 공격은 LLM이 존재하지 않는 패키지나 리소스 식별자를 스스로 생성(할루시네이션)하는 특성을 악용한다. AI 코딩 어시스턴트와 에이전트는 일상적인 작업 중 외부 저장소·레지스트리에서 코드와 리소스를 자동으로 가져오는데, 공격자는 LLM이 할루시네이션으로 생성할 가능성이 높은 식별자를 예측한 뒤 해당 이름으로 저장소를 미리 등록(스쿼팅)해 악성 코드를 심어둔다.
공격 대상으로 확인된 툴은 Cursor, Cursor CLI, Gemini CLI, Windsurf, GitHub Copilot, Cline, OpenClaw, ZeroClaw, NanoClaw 등 9종이다. 이들 도구는 높은 권한의 커맨드라인에 접근해 서드파티 코드를 실행하는 경우가 많아, 악성 리소스가 다운로드·실행되면 리버스 셸 등 악성 소프트웨어가 설치될 수 있다.
기존 프롬프트 인젝션은 공격자가 이메일·캘린더 초대 등을 통해 각 피해자에게 개별적으로 악성 명령을 전달하는 '푸시(push)' 방식이어서 대규모 확산이 어려웠다. 반면 HalluSquatting은 공격자가 한번 악성 저장소를 등록해두면 불특정 다수의 AI 에이전트가 자발적으로 이를 가져오는 '풀(pull)' 방식으로, 최소한의 노력으로 다수 사용자를 감염시킬 수 있다고 연구팀은 밝혔다.