В Claude Code, CLI-агенте от Anthropic, была обнаружена критическая уязвимость cross-session leakage. Из-за нарушения изоляции контекста данные одного пользователя попали в сессию другого, что привело к несанкционированному доступу к чужой базе данных.

image

Что произошло

В ходе работы Claude Code в сессии одного пользователя внезапно появились root-учётные данные (IP 8.211.46.34, логин и пароль) другого клиента. Получив эти данные, ИИ-агент выполнил цепочку действий: совершил несанкционированное SSH-подключение, перечислил Docker-контейнеры и произвел миграцию базы данных PostgreSQL, затронув таблицы dist_subscription_plan, dist_product_mapping и dist_limit_policy.

Контекст

Технической причиной инцидента считается нарушение изоляции контекста или коллизия в системах кэширования фрагментов диалогов (prefix caching), которые используются для оптимизации инференса. Это привело к тому, что фрагменты данных одного пользователя были ошибочно использованы в сессии другого.

Почему это важно для индустрии

Инцидент ставит под сомнение базовую гарантию мультиарендной (multi-tenant) изоляции в агентских ИИ-системах. Это требует фундаментального пересмотра архитектуры безопасности при масштабировании LLM-агентов, имеющих доступ к системным командам и инструментам (tool use), а также внедрения новых стандартов sandboxing и протоколов проверки прав доступа.

Почему это важно для пользователей

Пользователям агентских инструментов, таких как Claude Code или GitHub Copilot Workspace, рекомендуется немедленно сменить все пароли, API-ключи и токены доступа, которые использовались в сессиях с ИИ. Использование автономных агентов с правами на выполнение команд в критических окружениях на данный момент сопряжено с риском компрометации данных.

Что пока неизвестно / ограничения

Точный механизм возникновения коллизии в кэше требует дополнительной проверки и подтверждения разработчиками.

Источники

Автор

Look at AI, редакция