Исследователи из AI Now Institute обнаружили критическую уязвимость удаленного выполнения кода (RCE) в популярных защитных ИИ-агентах, таких как Anthropic Claude Code и OpenAI Codex. Атака использует метод «двойного обмана», позволяющий обходить современные механизмы безопасности и перехватывать контроль над системой.


Что произошло
Исследователи продемонстрировали возможность реализации RCE через двухслойную инъекцию промпта. На первом этапе злоумышленники используют поддельные бинарные файлы и скрипты для обмана ИИ-классификаторов безопасности. На втором этапе вредоносные инструкции, скрытые в документации (например, в файлах README.md), заставляют агента выполнить произвольный код при попытке анализа сторонних библиотек. Уязвимость была успешно подтверждена на моделях Sonnet 4.6, 5, Opus 4.8 и GPT-5.5.
Контекст
Текущие подходы к защите автономных агентов полагаются на использование песочниц (sandboxing) и специализированных ИИ-классификаторов для фильтрации опасных команд. Однако выявленная атака доказывает, что эти механизмы не способны распознать комплексные многослойные инъекции, которые маскируют намерения злоумышленника под легитимные процессы проверки кода.
Почему это важно для индустрии
Для индустрии это означает, что текущие архитектуры безопасности не обеспечивают достаточной изоляции при массовом внедрении автономных агентов в критическую инфраструктуру. Проблема требует перехода от модели простого исполнения к структуре «планировщик + проверяющий + изолированный исполнитель» и разработки новых методов верификации контекста на уровне логики, а не только сигнатур.
Почему это важно для пользователей
Разработчикам крайне не рекомендуется использовать ИИ-агентов в режиме «автоматического выполнения» (auto-execute) для анализа сторонних репозиториев или непроверенного кода. Без жесткого контроля и перехода к режиму Human-in-the-loop агент может стать инструментом для взлома локальной системы пользователя.
Источники
Автор
Look at AI, редакция
