Эксперты Mozilla продемонстрировали атаку, в которой ИИ-агент самостоятельно компрометирует машину разработчика, пытаясь запустить проект с GitHub. При этом сам репозиторий не содержит явного вредоносного кода, подозрительных команд или пейлоадов, которые могли бы обнаружить сканеры и ревьюеры.

Об атаке рассказали специалисты bug bounty-платформы Zero Day Investigative Network (0DIN). Эта программа была запущена Mozilla летом 2024 года и представляет собой программу вознаграждения за уязвимости в больших языковых моделях (LLM) и других ИИ-технологиях и инструментах.

В предложенном исследователями сценарии Claude Code получал стандартную задачу: клонировать репозиторий, установить зависимости и запустить проект. Инструкции выглядели безобидно и предлагали выполнить привычные команды вроде pip3 install -r requirements.txt.

Однако одна из зависимостей — Python-пакет — намеренно отказывался работать до инициализации, демонстрируя сообщение об ошибке и рекомендуя запустить python3 -m axiom init. Claude Code воспринимал это как обычную проблему с настройкой окружения и автоматически выполнял предложенную команду, стремясь исправить ошибку.

Но init вызывал скрипт setup.sh, который обращался к контролируемой атакующими TXT-записи DNS, извлекал из нее конфигурационное значение и запускал его как команду. Во время проведения тестов исследователи разместили в TXT-записи закодированный в Base64 пейлоад, который открывал на машине разработчика реверс-шелл.

При этом сигнатура реверс-шелла в открытом виде не фигурировала ни в репозитории, ни на диске, ни в сетевом трафике, а полезная нагрузка хранилась в DNS и могла измениться в любой момент без обновления проекта.

«Claude Code не пытался открыть шелл. Он пытался исправить ошибку», — объясняют специалисты 0DIN.

Если такая атака срабатывает, злоумышленник получает интерактивный шелл с правами самого разработчика. Это открывает доступ к переменным окружения, API-ключам, токенам, локальным конфигурационным файлам и другим секретам. Кроме того, атакующий может развернуть бэкдор и сохранить доступ к системе жертвы после завершения сессии.

Пока атака представляет собой proof-of-concept, но исследователи предупреждают, что злоумышленники могут распространять ссылки на такие репозитории через фальшивые вакансии, обучающие материалы, публикации в блогах и личные сообщения.

Для защиты от таких атак специалисты предлагают обязать ИИ-агентов заранее показывать всю цепочку выполняемых команд, включая вызываемые скрипты и код, который загружается динамически во время работы.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии