ShadowPrompt: Claude 확장프로그램에서 제로클릭 프롬프트 인젝션 발견

무슨 일이 일어났나

2025년 12월 26일, 보안 연구자가 Anthropic Claude Google Chrome 확장프로그램에서 ShadowPrompt라는 이름의 제로클릭 프롬프트 인젝션 취약점을 발견하고 HackerOne을 통해 책임 있게 신고했다. 이 취약점은 사용자가 악성 웹사이트를 방문하기만 해도 Claude AI에 몰래 프롬프트를 주입할 수 있는 것으로, 사용자의 어떤 클릭이나 동의도 필요하지 않았다.

The Hacker News에 따르면, ShadowPrompt는 두 가지 서로 다른 결함을 연결(체이닝)하여 작동한다. 하나는 Chrome 확장프로그램의 느슨한 origin 검증이고, 다른 하나는 CAPTCHA 서비스의 DOM 기반 XSS 취약점이다. Anthropic은 신고 이후 Chrome Extension v1.0.41에서 패치를 배포했으며, 현재는 두 결함 모두 수정 완료된 상태다.

어떻게 공격하는가

ShadowPrompt의 공격 체인은 두 개의 결함을 순서대로 악용한다. 비유하자면, 건물 정문의 출입 카드 리더기가 "이 회사 직원이면 누구든 통과"로 설정되어 있고, 그 건물의 한 창문이 열려 있는 상황과 비슷하다.

첫 번째 결함: 느슨한 Origin 허용 목록

Claude Chrome 확장프로그램은 어떤 웹사이트가 메시지를 보낼 수 있는지 확인할 때 *.claude.ai 패턴을 사용했다. 와일드카드(*)를 썼기 때문에 claude.ai 본 도메인뿐 아니라 a-cdn.claude.ai 같은 모든 서브도메인이 확장프로그램과 통신할 수 있었다.

두 번째 결함: Arkose Labs CAPTCHA DOM-XSS

a-cdn.claude.ai에 호스팅된 Arkose Labs CAPTCHA 컴포넌트에 DOM 기반 XSS(Cross-Site Scripting) 취약점이 있었다. 공격자는 이 XSS를 이용해 a-cdn.claude.ai 컨텍스트에서 임의의 JavaScript를 실행할 수 있었다.

체이닝 결과

공격자의 웹사이트가 Arkose Labs XSS를 트리거하면, 실행된 스크립트가 a-cdn.claude.ai origin에서 동작하므로 확장프로그램의 와일드카드 검증을 통과한다. 이를 통해 사용자가 입력한 것처럼 보이는 프롬프트를 Claude에 직접 주입할 수 있다.

어떤 피해가 가능했나

CybersecurityNews와 SOCRadar의 보도에 따르면, 이 취약점이 악용되었을 경우 다음과 같은 피해가 발생할 수 있었다.

잠재적 피해	설명
프롬프트 주입	사용자 모르게 Claude에 악성 명령을 전달
액세스 토큰 탈취	확장프로그램의 인증 토큰을 외부로 유출
대화 기록 접근	이전 대화 내용을 공격자가 열람
사용자 사칭 행위	피해자를 대신하여 Claude에서 작업 수행

다만 이 취약점이 실제로 악용된 사례는 보고되지 않았다. 보안 연구자가 취약점을 발견한 뒤 곧바로 HackerOne을 통해 신고했고, Anthropic이 비교적 빠르게 대응했기 때문이다.

패치와 대응

시점	내용
2025년 12월 26일	HackerOne을 통한 취약점 신고
2026년 1월	Anthropic Chrome Extension v1.0.41 패치 배포
2026년 2월 19일	Arkose Labs CAPTCHA DOM-XSS 수정 완료
2026년 3월	ShadowPrompt 기술 상세 공개

Anthropic의 패치 핵심은 origin 검증 방식의 변경이다. 기존의 와일드카드 매칭(*.claude.ai)을 **정확한 문자열 매칭(claude.ai)**으로 교체했다. 이제 서브도메인에서는 확장프로그램에 메시지를 보낼 수 없다.

Arkose Labs도 2026년 2월 19일까지 CAPTCHA 컴포넌트의 DOM-XSS 취약점을 별도로 수정했다.

지금 할 수 있는 대응법

Chrome 확장프로그램 업데이트 확인: Claude Chrome 확장프로그램 버전이 v1.0.41 이상인지 확인한다. Chrome 주소창에 chrome://extensions를 입력하면 설치된 확장프로그램의 버전을 확인할 수 있다.
사용하지 않는 확장프로그램 정리: 이번 사건은 Chrome 확장프로그램이 가진 권한이 얼마나 넓을 수 있는지 보여준다. 현재 사용하지 않는 확장프로그램은 비활성화하거나 제거하는 것이 좋다.
AI 도구의 보안 공지 확인 습관: 사용 중인 AI 서비스의 보안 업데이트와 패치 노트를 정기적으로 확인한다. 대부분의 AI 서비스는 보안 취약점 발견 시 빠르게 패치를 배포한다.
민감한 정보는 AI 대화에서 분리: AI 어시스턴트에 패스워드, API 키, 개인 식별 정보 등을 입력하는 것은 최소화한다. 프롬프트 인젝션 공격이 성공하면 대화 내용이 유출될 수 있다.

참고 링크

The Hacker News: Claude Chrome Extension ShadowPrompt 보도 (2026.3)
CybersecurityNews: ShadowPrompt Zero-Click Prompt Injection (2026.3)
SOCRadar: Claude Extension Vulnerability Analysis (2026.3)
Infosecurity Magazine: Anthropic Patches Chrome Extension Flaw (2026.3)