Clinejection 공격은 GitHub 이슈 제목에 삽입된 프롬프트 인젝션을 시작으로 AI 이슈 분류 봇이 악성 명령을 실행하며, 캐시 중독과 자격 증명 탈취를 거쳐 4,000여 개발자 기기에 OpenClaw라는 악성 AI 에이전트를 몰래 설치하는 공급망 공격입니다.

공격자는 AI 봇이 이슈 제목을 명령어로 오인해 악성 저장소에서 패키지를 설치하도록 유도했고, 이 과정에서 GitHub Actions 캐시 중독과 NPM 토큰 탈취가 이루어져 정상적인 배포 프로세스가 악용되었습니다.

기존 보안 도구들은 postinstall 스크립트 실행과 비트 동일 바이너리 변경만으로는 악성 행위를 탐지하지 못했으며, 권한 토큰 회전 과정의 실수로 인해 공격자가 토큰을 이용해 악성 패키지를 배포할 수 있었습니다.

이 사건은 AI가 처리하는 자연어 입력이 곧바로 실행 권한으로 연결되는 위험성을 보여주며, AI 기반 자동화 도구가 무심코 악성 명령을 수행할 수 있는 구조적 취약점을 경고합니다.

해결책으로는 OIDC 기반 증명서 도입, 캐시 사용 제한, 자격 증명 회전 검증, 운영체제 수준의 시스템 호출 정책 평가 등이 제시되어, AI 에이전트가 실행하는 모든 작업을 엄격히 검증하는 보안 체계가 필요함을 시사합니다.