사이버보안 기업 테고 AI(Tego AI)가 2026년 7월 14일, Anthropic의 슬랙 네이티브 연동 기능 '클로드 태그(Claude Tag)'에서 치명적 보안 취약점을 발견했습니다. 이 취약점은 같은 해 중반 발생한 다른 주요 사건들과 결합하여 기업 환경에 심각한 위협을 구성합니다.

Create a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What security vulnerability did Tego AI disclose about Anthropic's Claude Tag Slack integration,. Article summary: Here is a fact-checked breakdown of all three layers of your question.. Topic tags: general, general web, user generated, news. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, charts with fake numbers, clickbait thumbnails, icons, and tiny thumbnail layouts. Make it useful as an illustrative visual, not as factual evidence.
2026년 7월 14일, 사이버보안 기업 테고 AI(Tego AI) 가 Anthropic의 슬랙 네이티브 연동 기능인 클로드 태그(Claude Tag)의 치명적 보안 취약점을 발표했습니다 . 테고 AI 연구진은 클로드 태그가 슬랙에서 구조적으로 진짜 멘션을 받은 경우가 아니라도, 메시지에 '@Claude'라는 글자가 포함되어 있기만 하면 반응한다는 사실을 발견했습니다
.
슬랙 채널에 접근 권한을 얻은 공격자는 봇, 웹훅, 또는 자동화된 피드의 메시지에 '@Claude'를 주입할 수 있습니다. 그러면 에이전트는 해당 메시지를 읽고 맥락을 해석하여, 민감한 데이터 읽기, 도구 호출 실행, 연결된 시스템과의 상호작용 등 승인되지 않은 기업 업무를 잠재적으로 수행할 수 있게 됩니다 .
요약하자면, 트리거 메커니즘이 위조 가능하여 합법적인 협업 기능이 인젝션 기반 공격 표면으로 전환되며, 트리거 문자열만 포함된 모든 메시지가 에이전트의 주의와 기능을 탈취할 수 있습니다.
Anthropic은 2026년 6월 23일, 기존의 '슬랙의 클로드(Claude in Slack)' 통합(2026년 8월 3일 종료)을 직접 대체하기 위해 클로드 태그를 출시했습니다 . 이는 사용자별 챗봇이 아닙니다. 클로드 태그는 슬랙 채널 내에서 고유한 정체성, 메모리, 도구 접근 권한을 가진 지속적인 공유 참여자입니다. 승인된 채널 구성원은 누구나 '@Claude'를 태그하여 작업을 할당할 수 있으며, AI는 개방된 환경에서 비동기적으로 작업합니다
.
이는 '앰비언트(ambient)' 모드로 작동하여 지속적으로 대화를 따라가고, 채널 맥락을 학습하며, 업데이트 플래그를 지정하거나 작업을 표면화하기 위해 능동적으로 나섭니다 . 권한은 개별 사용자가 아닌 에이전트가 위치한 채널 범위로 지정되어, 관리자가 각 채널마다 다른 도구 세트, 데이터 접근 권한, 지출 한도를 설정할 수 있습니다
.
내부적으로 각 클로드 태그 세션은 Anthropic이 관리하는 Linux 마이크로VM 내에서 Opus 4.8 모델로 실행되며, 커넥터 자격 증명은 VM 외부에 보관되고, 네트워크 접근은 프록시를 통해 이루어지며, 격리를 위해 읽기 전용 도구가 사용됩니다 . 채널 사용량은 사용자별 요금이 아닌 API 요금으로 조직에 청구되어 기존 엔터프라이즈 소프트웨어 가격 모델을 뒤집습니다
.
테고 AI의 발견은 단독으로 존재하지 않습니다. 2026년 중반의 다른 두 가지 주요 사건과 결합하여 기업 AI 에이전트 보안의 위기를 드러냅니다.
2026년 6월 30일, 독립 연구원 **'Thereallo'**는 클로드 코드를 리버스 엔지니어링하여, 난독화된 자바스크립트가 사용자의 지리적 위치(시간대 확인을 통해)를 조용히 지문(fingerprinting) 수집하고, 닮은꼴 유니코드 문자(예: 일반 아포스트로피 대신 굽은 아포스트로피, 대시 대신 슬래시)를 사용하여 시스템 프롬프트를 수정함으로써 Anthropic 백엔드가 감지할 수 있는 은밀한 추적 표식을 만드는 것을 발견했습니다 . 중국 국가 취약점 데이터베이스(NVDB)는 7월 8일 클로드 코드 버전 2.1.91부터 2.1.196까지를 대상으로 공식적인 '백도어' 보안 경보를 발령했습니다
. **알리바바(Alibaba)**는 곧바로 사내에서 클로드 코드를 사용 금지했습니다
. Anthropic은 이를 '남용 방지 실험'이라고 설명했으며, 7월 1일에 해당 기능을 제거했습니다
.
클로드 태그와 다른 많은 AI 에이전트를 뒷받침하는 모델 컨텍스트 프로토콜(MCP) 인프라에서 전반적인 설계 결함이 발견되었습니다. 2026년 주요 발견 사항은 다음과 같습니다.
exec() 또는 셸 인젝션과 관련되었으며, 13%는 경로 탐색(Path Traversal) 취약점이었습니다 클로드 태그와 유사한 에이전트형 AI 도구를 도입하는 기업은 3중 위협에 직면해 있습니다. 즉, 에이전트 트리거 계층의 프롬프트 인젝션 공격 표면(테고 AI 발견), 에이전트 도구의 불투명한 공급업체 측 추적(클로드 코드 트래커), 그리고 에이전트를 도구와 데이터에 연결하는 MCP 생태계의 근본적으로 안전하지 않은 인프라 기본값입니다.
아이덴티티 및 접근 통제 실패는 클로드 태그와 같이 광범위한 도구 접근 권한을 가진 지속성 에이전트가 위조된 멘션에 의해 트리거될 수 있을 때 빠르게 연쇄적으로 확대됩니다 . 전통적인 API 거버넌스는 에이전트 워크플로우에 부적합합니다. 에이전트는 사용자별 권한 모델이나 요청-응답 패턴을 따르지 않기 때문입니다
. 공급망 리스크는 막대합니다. MCP 참조 구현체의 취약점은 모든 다운스트림 배포로 전파됩니다
. 투명성과 감사 가능성은 여전히 중요한 문제입니다. 클로드 코드 트래커는 난독화된 자바스크립트에 숨겨져 외부 리버스 엔지니어링을 통해서만 발견되었으며, 이는 기업 보안 팀이 공급업체의 자체 공개에 의존할 수 없음을 의미합니다
.
규제 강화는 이미 진행 중이며, 중국 NVDB의 국가 차원 경보와 알리바바의 전면 사용 금지 조치가 그 예입니다 . 종합해 보면, 2026년 기업 AI 에이전트 보안은 지속성 에이전트를 엄격한 아이덴티티, 접근 및 공급망 통제를 갖춘 중요 인프라로 취급하는 근본적으로 새로운 접근 방식을 필요로 합니다.
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
사이버보안 기업 테고 AI(Tego AI)가 2026년 7월 14일, Anthropic의 슬랙 네이티브 연동 기능 '클로드 태그(Claude Tag)'에서 치명적 보안 취약점을 발견했습니다.
사이버보안 기업 테고 AI(Tego AI)가 2026년 7월 14일, Anthropic의 슬랙 네이티브 연동 기능 '클로드 태그(Claude Tag)'에서 치명적 보안 취약점을 발견했습니다. 이 취약점은 같은 해 중반 발생한 다른 주요 사건들과 결합하여 기업 환경에 심각한 위협을 구성합니다. 여기에는 클로드 코드(Claude Code)에 숨겨진 사용자 위치 추적 메커니즘 [31][34]과, AI 에이전트가 도구 및 데이터에 연결되는 핵심 인프라인 MCP(Model Context Protocol)의 전반적인 설계 결함이 포함됩니다.