Исследователи из Mozilla Zero Day Investigative Network (0DIN) обнаружили критическую уязвимость в агентских AI-инструментах для кодинга, таких как Claude Code. Атака позволяет злоумышленникам через цепочку косвенных действий заставить автономного агента выполнить вредоносную команду, маскируя ее под исправление системной ошибки.

image

Что произошло

В ходе исследования был выявлен вектор атаки, при котором AI-агент, пытаясь устранить ошибку, выполняет вредоносный скрипт. Механизм заключается в использовании специально настроенного Python-пакета, который генерирует ложное сообщение об ошибке. Это побуждает агента запустить команду инициализации, которая через DNS TXT-запись подтягивает и исполняет вредоносный код, предоставляя атакующему интерактивный shell с правами пользователя. При этом сам репозиторий на GitHub может выглядеть абсолютно чистым.

Контекст

Уязвимость относится к новому классу атак под названием indirect prompt/command injection через ошибки среды выполнения. Она эксплуатирует стремление современных AI-агентов к автоматическому самоисправлению (self-healing). Вместо того чтобы искать вредоносный код непосредственно в файлах проекта, злоумышленники используют динамическую подгрузку через сетевые запросы, что позволяет обходить традиционные сканеры безопасности.

Почему это важно для индустрии

Для индустрии разработки AI-агентов это означает необходимость радикального пересмотра моделей безопасности. Выявленный метод требует внедрения механизмов жесткой изоляции (sandboxing) и создания «Agentic Firewall», который будет фильтровать не только сетевой трафик, но и цепочки команд, генерируемых агентом в ответ на вывод терминала. Отрасли предстоит перейти от модели «агента с полными правами» к модели «агента с контролируемым контекстом», где каждое действие, вызванное внешним вводом, проходит через слой верификации намерений.

Почему это важно для пользователей

Разработчикам, использующим автономных AI-агентов в локальных средах, следует проявлять повышенную бдительность. Даже при работе с доверенными и визуально чистыми репозиториями важно отслеживать, какие именно команды агент пытается выполнить для «исправления» окружения, особенно если они включают инициализацию сторонних модулей или сетевые запросы. Рекомендуется ограничивать сетевые возможности инструментов и внедрять ручное подтверждение для любых команд, связанных с настройкой среды.

Источники

Автор

Look at AI, редакция