Даследчыкі з 0DIN, каманды ШІ-бяспекі Mozilla, паказалі, як агентны інструмент Claude Code можна прымусіць скампраметаваць кампутар распрацоўшчыка пры запуску вонкавага бясшкоднага GitHub-рэпазіторыя.
Даследчыкі з 0DIN, каманды ШІ-бяспекі Mozilla, паказалі, як агентны інструмент Claude Code можна прымусіць скампраметаваць кампутар распрацоўшчыка пры запуску вонкавага бясшкоднага GitHub-рэпазіторыя.
Атака выкарыстоўвае адну з ключавых асаблівасцей агентных інструментаў: яны не толькі чытаюць код, але і могуць выконваць каманды, адкрываць файлы і звяртацца да сеткі, каб самастойна завяршыць наладку праекта або выправіць памылку.
У сцэнарыі распрацоўшчык 0DIN папрасіў Claude Code разгарнуць праект з GitHub. У рэпазіторыі знаходзяцца звычайныя інструкцыі па ўсталёўцы залежнасцей і наладцы асяроддзя. Адзін з кампанентаў наўмысна завяршаўся памылкай і прапаноўваў стандартны спосаб выпраўлення. Claude Code ўспрымаў гэта як штатную праблему пры ўсталёўцы і спрабаваў аўтаматычна яе ўхіліць.
Далейшыя інструкцыі выглядалі бясшкодна, але запускалі ланцужок, які атрымліваў канфігурацыю з DNS-запісу, якім кіраваў зламыснік. Менавіта там знаходзілася схаваная карысная нагрузка. У выніку на прыладзе распрацоўшчыка можа быць адкрыты дыстанцыйны доступ з тымі ж правамі, што і ў самога карыстальніка.
Гэта патэнцыйна дае зламысніку доступ да пераменных асяроддзя, API-ключоў, лакальных канфігурацыйных файлаў, зыходнага кода, дакументаў і актыўных сесій. Таксама ён можа замацавацца ў сістэме, усталяваўшы дадатковае шкоднаснае ПЗ.
Даследчыкі падкрэсліваюць, што Claude Code не атрымлівае прамую інструкцыю адкрыць зламысніку доступ да машыны. Агент толькі спрабуе выправіць памылку, давяраючы тэксту памылкі, скрыпту наладкі і вонкавым дадзеным, якія ён не аналізуе цалкам.
Аўтары называюць гэту тэхніку прыкладам ускоснай промпт-ін’екцыі. У такіх атаках шкоднасныя інструкцыі змяшчаюцца не ў запыце карыстальніка, а ў вонкавым кантэнце, які агент лічыць часткай працоўнага кантэксту: README-файлах, дакументацыі, паведамленнях пра памылкі, GitHub-issues або рэпазіторыях.
0DIN рэкамендуе не даручаць ШІ-агентам запуск і наладку неправераных праектаў без чалавечага кантролю. Распрацоўшчыкам таксама раяць абмяжоўваць агентам доступ да shell-каманд і сеткі, а стваральнікам такіх інструментаў — паказваць карыстальніку поўны ланцужок каманд і вонкавых рэсурсаў, якія агент збіраецца задзейнічаць.
Даследчыкі адзначаюць, што праблема закранае не толькі Claude Code. Падобнай рызыцы схільныя любыя агентныя інструменты, якія апрацоўваюць неправераны кантэнт і пры гэтым маюць доступ да файлаў, тэрмінала і вонкавых сервісаў.
Релоцировались? Теперь вы можете комментировать без верификации аккаунта.