AI중요도: 높음

AI 코딩 도구 설정 파일도 악성 코드를 실행할 수 있다

Hacker News2026년 6월 8일 · 2일 전

SafeDep은 평범해 보이는 설정 파일이 코드를 자동으로 실행하는 보안 구멍을 설명했습니다. Claude Code, Gemini CLI, Cursor, VS Code 같은 도구가 저장소를 열거나 세션을 시작할 때 문제가 될 수 있습니다. 1인 개발자는 낯선 저장소를 열기 전에 설정 파일을 먼저 확인해야 합니다.

핵심 포인트

.claude, .gemini, .cursor, .vscode 같은 폴더가 새로 생기면 그냥 넘기지 마세요.
설정 파일 안에 node .github/setup.js 같은 실행 명령이 있으면 위험 신호입니다.
신뢰 확인창을 눌렀다면 이후에는 같은 명령이 조용히 다시 실행될 수 있습니다.
이미 열어 본 저장소라면 GitHub, npm, 클라우드 키 같은 인증 정보를 점검하세요.

용어 한 줄 설명

설정 파일: 프로그램이 어떻게 동작할지 적어 둔 파일입니다.
CLI: 터미널에서 명령어로 실행하는 프로그램입니다.
VS Code: 마이크로소프트가 만든 무료 코드 편집기로, 개발자들이 가장 많이 쓰는 프로그램 중 하나다.
Git: 코드 변경 기록을 저장하고 되돌리거나 공유하는 도구입니다.
신뢰 확인창: 이 폴더의 설정을 믿고 실행해도 되는지 묻는 알림입니다.
npm: Node.js 프로그램을 설치하는 일반적인 도구로, Claude Code의 기본 설치 방법입니다.
클라우드: 내 컴퓨터가 아니라 인터넷으로 연결된 외부 컴퓨터를 쓰는 방식입니다.
인증 정보: 서비스에 로그인하거나 접근할 때 쓰는 비밀 키나 토큰입니다.

원문 보기 ↗