Исследователи Mozilla показали, как ИИ-агента Claude можно обмануть и заставить установить червя через чистый репозиторий GitHub

Команда 0din из Mozilla продемонстрировала способ обмануть ИИ-ассистента Claude и заставить его запустить вредоносный код.

Для этого достаточно попросить агента инициализировать проект из на первый взгляд абсолютно безобидного репозитория GitHub.

Атака опасна тем, что после её успешного выполнения злоумышленник получает контроль над аккаунтом разработчика. В руки атакующего попадают все секреты, API-ключи, код, документы, сессии браузера и пароли. При желании можно установить дополнительный вредонос для сохранения постоянного доступа.

Исследователи отмечают, что подобной атаке подвержены практически все ИИ-агенты, однако Claude выбран в качестве примера, так как он остаётся стандартным инструментом для задач программирования.

Механизм работает следующим образом:

Жертве нужно лишь поручить Claude инициализировать проект из вредоносного репозитория или настроить его после самостоятельного клонирования.

Репозиторий выглядит чистым, содержит лишь несколько служебных файлов и, что важнее всего, ничего не вызывает реакции у инструментов безопасности, будь то удалённые, локальные или собственные проверки самого Claude.

Claude клонирует репозиторий и первым делом обрабатывает файл readme или Markdown-документ. В нём описывается, как инициализировать окружение Python с пакетом Axiom, распространённым инструментом мониторинга. На этом этапе всё выглядит легитимно.

Однако в репозитории спрятан поддельный стартовый скрипт Axiom, который при первом запуске завершается ошибкой. Это и есть первая уловка. Стремясь помочь и решить проблему, агент запускает ещё одну безобидную на вид команду для инициализации Axiom вида "python3 -m axiom init".

Данная команда вызывает shell-скрипт, который скачивает небольшое ПО для запуска. Это ещё одна стандартная операция, не вызывающая подозрений. Вторая уловка состоит в том, что вместо загрузки с вредоносного URL, который мог бы быть просканирован, скрипт читает DNS-записи типа TXT определённого домена. В данном случае это домен "_axiom-config.m100.cloud".

Такой подход тоже выглядит нормальным, ведь, к примеру, электронная почта и её инструменты конфигурации активно полагаются на TXT-записи. Сама запись TXT содержит закодированную в base64 строку, которая открывает обратную оболочку (reverse shell).

Это означает, что на машине пользователя открывается командная оболочка, но ввод перенаправляется на сервер атакующего. В этот момент злоумышленники могут получить всё, к чему имеет доступ пользователь, и запускать ПО от его имени. При этом и Claude, и жертва видят лишь сообщение вроде "Environment ready".

В сумме получается три уровня перенаправления, ни один из которых по отдельности не выглядит чем-то необычным. Очень немногие инструменты сканирования безопасности вообще пометят такой репозиторий, и почти ни одна активность, кроме непосредственного открытия удалённой оболочки, не покажется подозрительной.

Anthropic заявляет, что модель Mythos уже нашла более 10 000 уязвимостей за первый месяц работы

Исследователи получили 57 тысяч долларов от Google за две уязвимости в Chrome, найденные с помощью ИИ-подписки за 20 долларов

Корпоративное окружение со строго контролируемым сетевым доступом могло бы перехватить атаку, но большинство разработчиков работают не в таких условиях. Исследователи отмечают, что данная реализация лишь один пример концепции, которую можно применить и к гораздо более изощрённым и многоступенчатым методам.

Команда 0din заключает отчёт очевидным выводом – разработчикам никогда не следует слепо доверять незнакомому проекту как проверенному коду и тем более полагаться на сам ИИ-инструмент для анализа безопасности.

Что касается самих агентов, то им необходимо проверять, что именно и как будет запущено, а не просто следовать инструкциям.