Исследователи из 0DIN, команды ИИ-безопасности Mozilla, показали, как агентный инструмент Claude Code можно заставить скомпрометировать компьютер разработчика при запуске внешне безобидного GitHub-репозитория.
Исследователи из 0DIN, команды ИИ-безопасности Mozilla, показали, как агентный инструмент Claude Code можно заставить скомпрометировать компьютер разработчика при запуске внешне безобидного GitHub-репозитория.
Атака использует одну из ключевых особенностей агентных инструментов: они не только читают код, но и могут выполнять команды, открывать файлы и обращаться к сети, чтобы самостоятельно завершить настройку проекта или исправить ошибку.
В сценарии разработчик 0DIN попросил Claude Code развернуть проект из GitHub. В репозитории находятся обычные инструкции по установке зависимостей и настройке окружения. Один из компонентов намеренно завершался ошибкой и предлагает стандартный способ исправления. Claude Code вопринимал это как штатную проблему при установке и пытается автоматически ее устранить.
Дальнейшие инструкции выглядели безобидно, но запускали цепочку, которая получала конфигурацию из DNS-записи, контролируемой атакующим. Именно там находилась скрытая полезная нагрузка. В результате на устройстве разработчика может быть открыт удаленный доступ с теми же правами, что и у самого пользователя.
Это потенциально дает злоумышленнику доступ к переменным окружения, API-ключам, локальным конфигурационным файлам, исходному коду, документам и активным сессиям. Также он может закрепиться в системе, установив дополнительное вредоносное ПО.
Исследователи подчеркивают, что Claude Code не получает прямую инструкцию открыть злоумышленнику доступ к машине. Агент лишь пытается исправить ошибку, доверяя тексту ошибки, скрипту настройки и внешним данным, которые он не анализирует полностью.
Авторы называют эту технику примером косвенной промпт-инъекции. В таких атаках вредоносные инструкции содержатся не в запросе пользователя, а во внешнем контенте, который агент считает частью рабочего контекста: README-файлах, документации, сообщениях об ошибках, GitHub-issues или репозиториях.
0DIN рекомендует не поручать ИИ-агентам запуск и настройку непроверенных проектов без человеческого контроля. Разработчикам также советуют ограничивать агентам доступ к shell-командам и сети, а создателям таких инструментов — показывать пользователю полную цепочку команд и внешних ресурсов, которые агент собирается задействовать.
Исследователи отмечают, что проблема затрагивает не только Claude Code. Подобному риску подвержены любые агентные инструменты, которые обрабатывают непроверенный контент и при этом имеют доступ к файлам, терминалу и внешним сервисам.
Релоцировались? Теперь вы можете комментировать без верификации аккаунта.