AI supply chain attacks don’t even require malware…just post poisoned documentation

The Register - Security · 2026-03-25

• Context Hub라는 AI 코딩 에이전트용 API 문서 제공 서비스에서 콘텐츠 검증 없이 악의적 문서 주입이 가능한 공급망 공격 취약점이 발견되었습니다.
• 보안 연구자가 공개한 개념 증명(PoC)에 따르면 GitHub PR을 통해 가짜 패키지 의존성을 문서에 삽입하면 AI 에이전트가 이를 자동으로 프로젝트 파일에 포함시키는 것으로 확인되었습니다.
• 현재 Context Hub의 PR 승인률이 높고(97개 중 58개 병합) 자동화된 보안 스캔이 부재하여, 게임사가 AI 에이전트 기반 개발 도구 사용 시 공급망 공격 리스크에 노출될 수 있습니다.