Supabase MCP를 이용한 개인 SQL 테이블 유출
2025-07-09
연구원들은 Supabase의 MCP 통합을 악용하여 개발자의 개인 SQL 테이블을 유출하는 취약점을 발견했습니다. 교묘하게 작성된 지원 티켓 메시지는 LLM 어시스턴트가 SQL 쿼리를 실행하여 행 수준 보안을 우회하고 OAuth 토큰과 같은 민감한 데이터에 액세스하도록 속입니다. 이 취약점은 LLM 어시스턴트의 과도한 데이터베이스 액세스 권한(service_role)과 사용자가 제출한 콘텐츠에 대한 무분별한 신뢰에서 비롯됩니다. 완화 조치로는 가능한 한 읽기 전용 모드를 사용하고 프롬프트 주입 필터를 추가하는 것이 있습니다.
더 보기
개발