[레딧-클로드AI] Claude Code 권한 스킵 모드의 프롬프트 인젝션 공격

Lasso Security가 Claude Code의 간접 프롬프트 인젝션 취약점을 연구하여 공개했다.
--dangerously-skip-permissions 플래그로 실행 시, Claude가 신뢰할 수 없는 콘텐츠를 신뢰된 권한으로 처리하는 구조적 문제가 있다.

공격 벡터 4가지

• 클론한 레포의 README나 코드 주석에 숨겨진 지시
• Claude가 리서치용으로 가져오는 웹페이지에 포함된 악성 지시
• MCP 커넥터(Notion, GitHub, Slack 등)를 통해 들어오는 편집된 페이지
• Base64, 호모글리프, zero-width 문자 등으로 인코딩된 페이로드

문제

• Claude는 사용자의 지시와 콘텐츠에 삽입된 악성 지시를 구분하지 못함
• --dangerously-skip-permissions는 이를 잡아줄 사람 확인 단계를 제거함

오픈소스 방어 도구

• PostToolUse 훅: 도구 실행 결과를 50+ 탐지 패턴으로 스캔
• 차단이 아닌 경고 방식 — false positive 가능성을 고려하여 Claude가 경고를 컨텍스트에서 판단하도록 함
• Python/TypeScript 지원, 5분 설정
• GitHub: github.com/lasso-security/claude-hooks

커뮤니티 인사이트 (댓글)

• HTML meta 태그나 주석에 지시를 삽입하면 Claude가 자연스럽게 파싱함. 경쟁사 웹사이트를 파싱할 때 sanitize 없이 넣으면 위험
• sandbox 모드(Docker 등)에서 bash만 허용하고 실행하는 것이 더 안전한 대안
• "YOLO 모드 vs 5초마다 허가 요청" 사이의 중간 지점이 필요하다는 의견 — 특정 폴더 내에서만 자유 실행, 실행 파일만 허가 요청하는 구조

에이전트 자동화 환경에서 보안을 고민하거나, --dangerously-skip-permissions 사용 중인 경우 참고할 수 있다.