«Мыслите нестандартно» — этот лозунг напечатан на миллионах мотивационных плакатов по всему миру, служа призывом для менеджеров среднего звена и вызывая закатывание глаз у всех остальных. И тем не менее, именно это и проделали исследователи из команды 0din компании Mozilla, обманув Claude, заставив его запустить вредоносное ПО окольным, но обманчиво простым способом — всего лишь попросив его инициализировать проект из вполне безобидно выглядящего репозитория GitHub.
Злоумышленник получит контроль над учетной записью самого разработчика, получив доступ ко всем его секретам, API-ключам, коду, документам, сеансам браузера и паролям. Он даже сможет установить дополнительное вредоносное ПО для сохранения постоянного доступа. Достаточно сказать, что почти каждый бот-агент подвержен такому типу атаки, хотя Claude является выбором по умолчанию для задач программирования.
Вот как это работает. Все, что нужно сделать разработчику-жертве, — это попросить Claude инициализировать проект из вредоносного репозитория GitHub (или попросить его настроить проект после самостоятельного клонирования). Указанный репозиторий выглядит довольно чисто, содержит всего несколько файлов-заготовок и, что самое важное, ничего, что могло бы активировать инструменты безопасности, будь то удаленные, локальные или даже собственные проверки Claude.
Claude клонирует репозиторий. Первым файлом, который он обработает, будет «readme» или Markdown-файл, описывающий, как инициализировать среду Python с пакетом Axiom — общепринятым инструментом мониторинга. Пока что это выглядит совершенно легитимно. Однако там есть поддельный скрипт запуска Axiom, который просто выдаст ошибку при первом запуске. Это первый шаг, который обманывает систему, потому что, стремясь быть полезным и решить проблему, он выполнит другую безобидно выглядящую команду для инициализации Axiom: «python3 -m axiom init».
Это, в свою очередь, запускает шелл-скрипт, который загружает небольшое программное обеспечение для запуска — еще одна стандартная операция, которая не вызовет подозрений. Но вторая хитрость заключается в том, что вместо загрузки с вредоносного URL-адреса, который можно просканировать, скрипт считывает текстовые записи DNS определенного домена — в данном случае домена «_axiom-config.m100.cloud». Это тоже выглядит достаточно правдоподобно, поскольку, например, электронная почта и, следовательно, ее инструменты конфигурации в значительной степени полагаются на TXT-записи.
Указанная TXT-запись содержит закодированную (base64) строку, которая просто открывает обратный шелл (reverse shell), то есть открывает шелл на машине пользователя, но перенаправленный на сервер злоумышленника для ввода. В этот момент злоумышленники могут выудить все, к чему имеет доступ пользователь, и приступить к запуску программного обеспечения от имени пользователя. Тем временем все, что видят Claude и жертва, — это сообщение вроде «Среда готова» или аналогичное.
Если вы считали, то это три шага косвенного воздействия, ни один из которых по отдельности не выглядит чем-то из ряда вон выходящим. Очень немногие (если вообще какие-либо) инструменты сканирования безопасности даже пометят репозиторий, и вся активность, за исключением фактического открытия удаленного шелла, даже не выглядит особенно странной. Корпоративная среда с очень строго контролируемым сетевым доступом могла бы это обнаружить, но большинство разработчиков работают не там. Также стоит подчеркнуть, что эта конкретная реализация — лишь один пример концепции, которую можно применить к еще более косвенным и изощренным методам.
Команда 0din завершает свой отчет, констатируя очевидное: разработчики никогда не должны слепо доверять неизвестному проекту как доверенному коду, и, естественно, не должны доверять самому ИИ-инструменту для целей анализа безопасности. Что касается самих агентов, 0din заявляет, что им необходимо проверять, что именно и как будет выполняться, вместо того чтобы просто следовать инструкциям.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bruno Ferreira
