SkillJect: 추적 기반 폐루프 정교화를 통한 코딩 에이전트를 위한 은밀한 기술 기반 프롬프트 주입 자동화

SkillJect: Automating Stealthy Skill-Based Prompt Injection for Coding Agents with Trace-Driven Closed-Loop Refinement

에이전트 기술은 코딩 에이전트에서 핵심적인 추상화 방식으로, 장문의 지침과 보조 스크립트를 묶어 도구 기반 동작을 확장합니다. 이러한 추상화는 아직 충분히 연구되지 않은 공격 표면인 기술 기반 프롬프트 주입을 야기합니다. 악성 기술은 에이전트를 사용자의 의도와 안전 정책에서 벗어나도록 유도할 수 있습니다. 실제로, 단순한 주입 시도는 종종 실패합니다. 그 이유는 악성 의도가 너무 명확하거나 원래 기술과 너무 동떨어져 있어 에이전트가 이를 무시하거나 거부하기 때문입니다. 기존 공격은 대부분 수동으로 제작됩니다. 우리는 에이전트 기술에 특화된 은밀한 프롬프트 주입을 위한 최초의 자동화 프레임워크인 SkillJect를 제안합니다. 이 프레임워크는 세 개의 에이전트를 포함하는 폐루프 시스템으로 구성됩니다. 공격 에이전트는 명시적인 은밀성 제약 조건 하에서 주입 기술을 생성합니다. 코드 에이전트는 실제 도구 환경에서 주입된 기술을 사용하여 작업을 수행합니다. 평가 에이전트는 작업 추적 기록(예: 도구 호출 및 파일 작업)을 기록하고, 목표로 하는 악성 동작이 발생했는지 확인합니다. 또한, 우리는 악성 페이로드를 숨기는 전략을 제안합니다. 이 전략은 적대적인 작업을 보조 스크립트에 숨기는 동시에, 도구 실행을 유도하기 위한 최적화된 유도 프롬프트를 주입합니다. 다양한 코딩 에이전트 환경 및 실제 소프트웨어 엔지니어링 작업에 대한 광범위한 실험 결과, 우리 방법은 현실적인 환경에서 일관적으로 높은 공격 성공률을 달성합니다.

Agent skills are becoming a core abstraction in coding agents, packaging long-form instructions and auxiliary scripts to extend tool-augmented behaviors. This abstraction introduces an under-measured attack surface: skill-based prompt injection, where poisoned skills can steer agents away from user intent and safety policies. In practice, naive injections often fail because the malicious intent is too explicit or drifts too far from the original skill, leading agents to ignore or refuse them; existing attacks are also largely hand-crafted. We propose the first automated framework for stealthy prompt injection tailored to agent skills. The framework forms a closed loop with three agents: an Attack Agent that synthesizes injection skills under explicit stealth constraints, a Code Agent that executes tasks using the injected skills in a realistic tool environment, and an Evaluate Agent that logs action traces (e.g., tool calls and file operations) and verifies whether targeted malicious behaviors occurred. We also propose a malicious payload hiding strategy that conceals adversarial operations in auxiliary scripts while injecting optimized inducement prompts to trigger tool execution. Extensive experiments across diverse coding-agent settings and real-world software engineering tasks show that our method consistently achieves high attack success rates under realistic settings.