pile·
최신
  1. 보안·cloudflare-blogCloudflare Blog·

    사이트 소유자를 위한 새 AI 트래픽 제어 옵션

    Cloudflare가 Content Independence Day 1주년을 맞아 웹사이트 소유자가 AI 트래픽을 목적별로 세분화해 제어할 수 있는 새 시스템을 공개했다. 기존 "AI 봇 차단" 토글을 넘어 Search·Agent·Training 세 카테고리로 봇을 분류하고, robots.txt에 콘텐츠 재사용 범위를 선언하는 새 use= 시그널을 도입했다. 멀티퍼포스 봇은 가장 제한적인 카테고리 규칙이 적용되며, 2026년 9월 15일부터 광고 페이지에 새 기본값이 적용된다.

    #web-security#bot-management#robots-txt+2
  2. 보안·cloudflare-blogCloudflare Blog·

    Cloudflare 앱 생태계 OAuth 전면 개방 — Hydra 마이그레이션 내막

    Cloudflare가 OAuth 인프라를 Hydra 1.X에서 2.X로 업그레이드하면서 자체 관리 OAuth를 전체 개발자에게 개방한 과정을 다룬다. 스키마 변경으로 인한 인덱스 락 문제, 블루-그린 배포 전략, 전환 중 revocation 큐 설계, 전환 후 리프레시 토큰 버그까지 실제 운영 사고와 해결을 상세히 기록했다.

    #database-migration#zero-downtime#oauth+2
  3. 보안·cloudflare-blogCloudflare Blog·

    양자 내성 암호화 행정명령(EO 14409) — 2030 전환 기한과 조직 대응 방안

    2026년 6월 22일 트럼프 대통령이 서명한 행정명령 EO 14409는 미 연방 기관에 2030년까지 암호화(키 교환) 전환, 2031년까지 디지털 서명 전환을 요구한다. Cloudflare는 이미 자사 네트워크 브라우저 트래픽의 2/3 이상을 PQC(Post-Quantum Cryptography)로 보호 중이며, 이 글은 행정명령의 기술적 함의와 조직이 지금 당장 해야 할 일을 정리한다.

    #tls#cryptography#post-quantum-cryptography+2
  4. 보안·vercel-blogVercel Blog·

    Vercel OIDC 토큰의 커스텀 오디언스 지원

    Vercel OIDC 발급자(`oidc.vercel.com`)가 커스텀 오디언스 클레임을 지원하기 시작했다. 기존 고정 오디언스(`https://vercel.com/{owner}`) 방식은 특정 제공자가 침해됐을 때 공격자가 동일 토큰으로 다른 서비스에 인증을 시도할 수 있었는데, 이제 배포마다 서드파티별 고유 `aud` 클레임을 설정해 토큰 격리가 가능하다.

    #jwt#oidc#token-exchange+1
  5. 보안·cloudflare-blogCloudflare Blog·

    취약점 발견 하네스 직접 구축하기

    Cloudflare가 내부 보안 취약점 탐색에 멀티 에이전트 LLM 파이프라인을 적용한 경험을 공개한다. "취약점 발견 하네스(VDH)"와 "취약점 검증 시스템(VVS)"의 2단계 구조로 운영되며, 모델을 교체 가능한 구성 요소로 취급하는 모델-독립 아키텍처가 핵심 설계 원칙이다. 실제 운영에서 원본 20,799개 후보를 삼계층 필터링으로 7,245개 실행 가능 발견사항까지 정제했다.

    #security-automation#llm-agent#agentic-ai+2
  6. 보안·인프랩 (인프런)인프런 (인프랩)·

    소프트웨어 공급망 공격, pnpm으로 1차 방어선 구축하기

    인프랩이 소프트웨어 공급망 공격(Supply-Chain Attack)에 대응하기 위해 pnpm 11의 보안 설정을 활용해 조직 전체의 1차 방어선을 구축한 과정을 다룬다. 2025년 3월 Axios npm 패키지가 탈취되어 악성 코드가 게시 후 6분 만에 배포된 사례를 출발점으로, pnpm 11의 기본 보안 옵션들이 이런 공격을 어떻게 원천 차단하는지 설명한다.

    #supply-chain-attack#pnpm#dependency-management+2
  7. 보안·stackoverflow-blogStack Overflow Blog·

    AI 에이전트가 노출하는 보안 허점 — Confused Deputy 문제

    AI 에이전트가 시스템 권한을 광범위하게 보유하게 되면서, 고전적인 'Confused Deputy' 보안 취약점이 재부상하고 있다. 2026년 6월 Meta AI 어시스턴트를 통해 2만 개 Instagram 계정이 탈취된 사례가 이를 실증한다. 문제의 핵심은 자연어 인터페이스가 권한 검증 정보를 포함하지 않아, 낮은 권한의 공격자가 높은 권한의 에이전트를 조종할 수 있다는 점이다.

    #prompt-injection#security#ai-agents+2
  8. 보안·vercel-blogVercel Blog·

    Vercel Connect — 에이전트를 위한 런타임 자격증명 교환 보안 모델

    Vercel Connect가 AI 에이전트의 외부 서비스 연동 보안 패러다임을 장기 저장 토큰에서 런타임 자격증명 교환(runtime credential exchange) 모델로 전환한다. 에이전트가 Slack, GitHub, Salesforce 등에 접근할 때 환경에 저장된 장기 토큰 대신, 작업 범위만큼만 제한된 단기 토큰을 요청 시점에 OIDC 신원 검증으로 발급받는다.

    #oauth#security#ai-agents+2
  9. 보안·LY CorporationLY Corporation·

    ID-JAG The Hard Way: 실패로 배우는 AI 에이전트 보안 핸즈온

    LY Corporation 엔지니어가 AI 에이전트의 인가(Authorization) 문제를 OAuth 2.0 확장 표준인 ID-JAG(Identity Assertion JWT Authorization Grant)로 해결하는 핸즈온을 공개했다. IETF OAuth 워킹 그룹에서 논의 중인 이 초안은 기존 인증 중심 접근을 "이 에이전트가 이 사용자를 대신해 이 권한 범위 내에서 이 리소스에 접근하도록 인가됐는가?"로 재정의한다. Keycloak + Athenz + Ollama/Gemma 4 스택으로 로컬 쿠버네티스 환경을 구성해 실패 시나리오부터 정상 흐름까지 단계별로 체험할 수 있다.

    #jwt#mcp#ai-agent+2
  10. 보안·AWS KoreaAWS Korea Tech·

    프롬프트 인젝션 방어: AgentCore 기반 다층 보안 설계 패턴

    AWS Korea Tech 기술 블로그에서 Amazon Bedrock AgentCore를 기반으로 LLM 에이전트의 프롬프트 인젝션 공격을 방어하는 다층 보안 아키텍처를 소개한다. Claude Opus 4.7 벤치마크에서도 100번 중 4.8~6.0%의 공격 성공률이 나타나는 만큼, "더 영리한 프롬프트" 대신 LLM 바깥의 인프라가 실행을 거부하는 구조가 필요하다고 강조한다.

    #llm-security#jwt#prompt-injection+2
  11. 보안·twilio-engTwilio Engineering·

    패스키 vs 다른 인증 방식: 무엇이 다른가

    패스키(Passkeys)와 토큰·인증서·SMS OTP·생체인식 등 기존 인증 방식을 기술적 보안 속성 기준으로 비교한다. FIDO Alliance와 WebAuthn API를 기반으로 공개키 암호화를 사용하는 패스키가 피싱·자격증명 스터핑·SIM 스와핑 공격에 어떻게 저항성을 갖는지, 기존 방식들과 어떤 트레이드오프가 있는지 분석한다.

    #authentication#passkeys#webauthn+2
  12. 보안·stackoverflow-blogStack Overflow Blog·

    바이브 코딩 시대의 OWASP Top 10 2025 — AI 생성 코드와 공급망 보안

    OWASP Top 10 2025가 소프트웨어 생명주기 전체를 보안 책임 범위로 확장하면서, AI 코드 생성(Vibe Coding)이 13번째 인식 항목으로 추가됐다. AI가 Java Spring Boot 80개 예제에서 오류 처리를 전량 제거하고 스택 트레이스를 노출한 실제 사례가 AI 생성 코드의 구조적 보안 위험을 보여준다.

    #supply-chain#security#vibe-coding+2
  13. 보안·vercel-blogVercel Blog·

    Protecting against token theft

    AI 추론 엔드포인트는 요청당 최대 2달러의 비용이 들어 기존 HTTP보다 백만 배 비싼 자원이다. 이 경제성이 추론 절도(inference theft)라는 고수익 공격 벡터를 만들었고, 공격자들은 AI 플레이그라운드·서포트봇·문서 어시스턴트를 타깃으로 하루 수만 달러 상당의 추론 자원을 탈취한다. Vercel은 2026년 4월 자사 문서 AI에 분당 1,300건 요청 급등(하루 $10,000 상당)을 경험했고, 세션 경계가 아닌 요청 단위 검증으로만 이를 막을 수 있다는 것을 실증했다.

    #ai-security#botid#rate-limiting+2