Атака на Claude Code: ИИ-агент сам запускает вредоносный код без вредоносных строк
Исследователи из Mozilla Zero Day Investigative Network (0DIN) обнаружили новый тип атаки на ИИ-агент для программирования Claude Code. Агент сам запускает вредоносный код, хотя в репозитории нет ни одной вредоносной строки.
Атака не эксплуатирует классические уязвимости — ни zero-day, ни обход аутентификации. Злоумышленники используют привычку агента при столкновении с ошибкой немедленно пытаться её исправить. Это позволяет внедрить команды, которые агент выполняет добровольно.
По данным исследователей, атакующий может разместить в репозитории код, который вызывает ошибку при выполнении. Claude Code, следуя своей логике, запускает предложенное атакующим "исправление", которое оказывается вредоносным.
Claude Code — популярный ИИ-помощник для разработчиков, интегрированный в среды разработки. Такая атака опасна, так как разработчики могут доверять агенту выполнение команд от их имени.
Пока неизвестно, планирует ли Anthropic (разработчик Claude) выпустить исправление. Исследователи Mozilla рекомендуют разработчикам внимательно проверять действия ИИ-агентов и не доверять им выполнение критических операций без подтверждения.
Эта атака демонстрирует новый класс угроз, связанных с логикой работы ИИ-агентов. Традиционные методы защиты от вредоносного кода могут не сработать, так как код выполняется самим агентом по его инициативе.
Подобные инциденты подчёркивают необходимость пересмотра безопасности при использовании ИИ-инструментов в разработке.
