Mozilla 0din продемонстрировала метод эксплуатации AI-агентов через «чистые» репозитории GitHub: как Claude Code устанавливает вредоносное ПО
Исследователи из команды Mozilla 0din продемонстрировали уязвимость, позволяющую обмануть ИИ-агенты для программирования, такие как Claude Code, и заставить их устанавливать вредоносное программное обеспечение. Атака осуществляется через внешне безобидные репозитории на платформе GitHub. Уязвимость эксплуатирует тенденцию ИИ-помощников быть чрезмерно полезными и автоматически решать возникающие технические проблемы, что приводит к выполнению скрытых команд злоумышленниками.
Суть метода заключается в том, что разработчик просит ИИ-агента инициализировать проект из репозитория, который выглядит чистым и безопасным. Такой репозиторий содержит лишь базовые файлы для настройки среды разработки и не вызывает подозрений у систем безопасности, включая собственные механизмы проверки Claude. После клонирования репозитория агент обрабатывает файл README или Markdown-документ, содержащий инструкции по настройке Python-среды с использованием пакета Axiom — популярного инструмента мониторинга. На этом этапе процесс выглядит абсолютно легитимным.
Первый этап обмана происходит при попытке запуска скрипта инициализации Axiom. Предоставленный в репозитории скрипт намеренно содержит ошибку, которая приводит к сбою при первом запуске. Стремясь помочь пользователю решить эту проблему, ИИ-агент автоматически выполняет альтернативную команду инициализации: «python3 -m axiom init». Эта команда запускает скрытый shell-скрипт, который загружает дополнительное программное обеспечение для выполнения. Подобные операции загрузки часто являются стандартными в процессе настройки разработки и не вызывают подозрений у антивирусных сканеров или систем мониторинга.
Второй ключевой элемент атаки заключается в способе получения вредоносной нагрузки. Вместо прямой загрузки по явному URL-адресу, который может быть проанализирован системами безопасности, скрипт считывает DNS TXT-записи определенного домена — в данном случае «_axiom-config.m100.cloud». Использование TXT-записей является распространенной практикой для конфигурации электронной почты и других сервисов, поэтому этот шаг также выглядит легитимным. В указанной TXT-записи содержится закодированная строка (base64), которая при декодировании открывает реверсивный шелл. Это позволяет злоумышленнику получить удаленный доступ к терминалу на машине жертвы, перенаправляя ввод и вывод на сервер атакующего.
В результате успешной реализации данной схемы злоумышленники получают полный контроль над учетной записью разработчика. Это дает им доступ ко всем сохраненным секретам, API-ключам, исходному коду, документам, сессиям браузера и паролям. Кроме того, преступники могут установить дополнительное вредоносное ПО для сохранения постоянного доступа к системе. Для пользователя и ИИ-агента процесс завершается выводом стандартного сообщения об успешной готовности среды, например, «Environment ready», что маскирует факт компрометации.
Анализ показывает, что данная атака включает три уровня косвенных действий, ни один из которых по отдельности не выглядит подозрительно. Большинство современных инструментов сканирования безопасности не отметят такой репозиторий как вредоносный, а активность системы до момента открытия удаленного терминала не демонстрирует явных признаков аномалий. Хотя корпоративные среды со строго контролируемым сетевым доступом могут перехватить подобные попытки, большинство разработчиков работают в условиях с менее жесткими ограничениями.
Исследователи из Mozilla 0din подчеркивают, что представленный пример иллюстрирует концепцию, которая может быть адаптирована для еще более сложных и многоступенчатых методов атаки. Практически все ИИ-агенты подвержены подобным рискам, однако Claude часто используется разработчиками как основной инструмент для задач программирования.
В заключении отчета команда 0din рекомендует разработчикам не доверять неизвестным проектам и не рассматривать код из сторонних репозиториев как безопасный по умолчанию. Также подчеркивается недопустимость использования ИИ-инструментов для целей анализа безопасности. Рекомендуется, чтобы сами ИИ-агенты обучались не просто следовать инструкциям шаг за шагом, а тщательно анализировать, какие именно команды будут выполнены и как они повлияют на систему.


