ИИ-помощника Claude Code научили незаметно заражать компьютеры разработчиков


Опубликовано 05.07.2026 | Автор: kmveg

0

ИИ-помощника Claude Code научили незаметно заражать компьютеры разработчиков

Специалисты по информационной безопасности предупреждают о новой уязвимости в автономном ИИ-ассистенте Claude Code. Исследователи из подразделения 0din компании Mozilla продемонстрировали, как излишнее стремление искусственного интеллекта помочь пользователю позволяет злоумышленникам скрытно запускать вредоносный код на устройствах разработчиков.

Как работает скрытая угроза через DNS

В процессе тестирования эксперты использовали метод непрямого внедрения инструкций (indirect prompt injection). Атака начинается с обычного файла разметки Markdown, описывающего установку утилиты мониторинга Axiom. Если запустить инструмент без предварительной настройки, возникает стандартное сообщение об ошибке с предложением выполнить команду для исправления ситуации.

Поскольку Claude Code стремится максимально автоматизировать рутинные задачи, он автоматически выполняет указанную команду, воспринимая её как стандартный процесс устранения неполадок.

Однако запуск этой команды активирует скрытый сценарий командной строки. Этот скрипт отправляет запрос к текстовой DNS-записи (TXT-записи), контролируемой злоумышленником. В этой записи зашифрована команда для создания обратного шелл-соединения (reverse shell), которое позволяет удаленно управлять компьютером жертвы. После декодирования команда незаметно выполняется, связывая устройство разработчика с сервером атакующего. Оказавшись внутри системы, злоумышленник может закрепиться в ней, например, прописав свой SSH-ключ или настроив регулярный запуск вредоносных задач через планировщик cron. Для компрометации достаточно, чтобы разработчик просто открыл ссылку на проект, опубликованную в рабочем чате или в объявлении о вакансии.

Почему бессильны традиционные системы защиты

Стандартные инструменты безопасности, включая антивирусы и брандмауэры, не смогли обнаружить угрозу, так как каждое отдельное действие выглядело абсолютно легитимно. Исследователи выделили несколько причин неэффективности классической защиты:

  • Инструменты статического анализа кода видят лишь стандартный DNS-запрос, в котором нет явных признаков вредоносной активности.
  • Системы сетевого мониторинга фиксируют обычное разрешение доменных имен, не вызывающее подозрений.
  • Сам ИИ-агент воспринимает запускаемую команду как предварительно авторизованную часть процесса настройки.

Меры предосторожности для разработчиков

Специалисты команды 0din подчеркивают, что автономным ИИ-ассистентам жизненно необходимы механизмы предварительной проверки сценариев перед их фактическим запуском. Разработчикам же настоятельно рекомендуется отказаться от слепого доверия к незнакомым репозиториям, какими бы безобидными ни казались их конфигурационные файлы.

Подобная уязвимость актуальна не только для Claude Code, но и для большинства других автономных ИИ-систем, которые пока не умеют эффективно распознавать непрямые атаки и оценивать реальные последствия выполняемых команд. До тех пор, пока создатели ИИ-инструментов не внедрят строгие защитные механизмы в среду выполнения, главным способом защиты остается бдительность самих пользователей и ограничение автоматизации при работе с непроверенным кодом.




Comments are closed.

Наверх ↑
  • Категории
    • Болезни и вредители (36)
    • Новости (2711)
    • Полезные свойства и вред (33)
    • Садовый инвентарь (18)
    • Удобрения (33)
    • Цветы (37)
  • Свежие статьи
  • Свежие комментарии
  • Товары для дачи