pip install 한 줄이 드러낸 위험: 정적 효과 분석으로 본 CrewAI 코드 인터프리터

작성자는 Python이나 TypeScript 함수가 네트워크, 파일시스템, 데이터베이스, 서브프로세스 등 외부 세계에 어떤 영향을 주는지 식별하는 정적 효과 분석기를 만들었다. 이를 CrewAI의 코드 인터프리터에 적용한 결과, LLM이 만든 문자열을 그대로 넣는 pip install 명령과 검증 없이 exec로 이어지는 실행 경로가 포착됐고, 명령 실행 및 공급망 측면의 뚜렷한 보안 위험이 드러났다.