현실 세계의 악성 에이전트 기술: 대규모 보안 실증 연구

Malicious Agent Skills in the Wild: A Large-Scale Security Empirical Study

서드파티 에이전트 기술은 LLM 기반 에이전트에 명령어 파일과 실행 코드를 추가하여 사용자의 컴퓨터에서 실행되도록 합니다. 이러한 기술은 사용자 권한으로 실행되며, 검증이 부족한 커뮤니티 레지스트리를 통해 배포되지만, 발생할 수 있는 위협을 파악할 수 있는 신뢰할 수 있는 데이터셋은 존재하지 않습니다. 본 연구에서는 두 개의 커뮤니티 레지스트리에서 수집된 98,380개의 에이전트 기술을 행동 기반으로 검증하여 최초의 악성 에이전트 기술 레이블링 데이터셋을 구축했습니다. 그 결과, 632개의 취약점을 가진 157개의 악성 기술이 확인되었습니다. 이러한 공격은 우연히 발생하는 것이 아닙니다. 악성 기술은 평균적으로 4.03개의 취약점을 가지며, 공격 단계는 중앙값으로 세 단계에 걸쳐 나타납니다. 에이전트 생태계는 크게 두 가지 유형으로 나뉩니다. 첫째는 공급망 기술을 통해 자격 증명을 탈취하는 '데이터 절도' 유형이고, 둘째는 명령어 조작을 통해 에이전트의 의사 결정을 방해하는 '에이전트 탈취' 유형입니다. 단일 공격자가 템플릿 기반의 브랜드 사칭을 통해 확인된 사례의 54.1%를 차지합니다. 공개 문서에 나타나지 않는 '숨겨진 기능'은 기본적인 공격에서는 전혀 나타나지 않지만, 고급 공격에서는 100% 나타납니다. 일부 기술은 AI 플랫폼 자체의 훅 시스템과 권한 플래그를 악용하기도 합니다. 책임 있는 공개를 통해 30일 이내에 93.6%의 악성 기술이 삭제되었습니다. 본 연구에서는 구축된 데이터셋과 분석 파이프라인을 공개하여 향후 에이전트 기술 보안 연구를 지원하고자 합니다.

Third-party agent skills extend LLM-based agents with instruction files and executable code that run on users' machines. Skills execute with user privileges and are distributed through community registries with minimal vetting, but no ground-truth dataset exists to characterize the resulting threats. We construct the first labeled dataset of malicious agent skills by behaviorally verifying 98,380 skills from two community registries, confirming 157 malicious skills with 632 vulnerabilities. These attacks are not incidental. Malicious skills average 4.03 vulnerabilities across a median of three kill chain phases, and the ecosystem has split into two archetypes: Data Thieves that exfiltrate credentials through supply chain techniques, and Agent Hijackers that subvert agent decision-making through instruction manipulation. A single actor accounts for 54.1\% of confirmed cases through templated brand impersonation. Shadow features, capabilities absent from public documentation, appear in 0\% of basic attacks but 100\% of advanced ones; several skills go further by exploiting the AI platform's own hook system and permission flags. Responsible disclosure led to 93.6\% removal within 30 days. We release the dataset and analysis pipeline to support future work on agent skill security.