AI-агенты для аудита кода научились запускать вредоносное ПО вместо его поиска

2 мин
AI-агенты для аудита кода научились запускать вредоносное ПО вместо его поиска

Исследователи из AI Now Institute описали новую атаку Friendly Fire, которая позволяет превратить AI-агентов для анализа безопасности в — напротив — инструмент компрометации системы. Под удар попали автономные режимы Claude Code и OpenAI Codex, когда они используются для проверки стороннего кода без подтверждения каждого действия со стороны пользователя.

Злоумышленнику в достаточной степени разместить специально подготовленный репозиторий или изменить содержимое доступного проекта, добавив безобидный на вид README.md, в котором содержится инструкция запустить якобы проверочный сценарий security.sh. Если разработчик поручает AI-агенту провести аудит проекта, тот самостоятельно читает документацию, полагает запускание скрипта частью процесса проверки и выполняет его. В демонстрации исследователей скрипт незаметно запускал скрытый бинарный файл уже на машине пользователя.

Разработчики подчеркивают, что задача носит архитектурный характер и не сводится к конкретной версии Claude Code или Codex. Уязвимым оказывается сам скрипт, в котором агент получает право выполнять команды при анализе недоверенного кода. Исправить ситуацию простым обновлением не получится: среди возможных мер защиты рассматриваются ограничение автономности агентов, изоляция среды выполнения и более строгий контроль источников инструкций.

Важно: не все режимы работы этих инструментов уязвимы. Исследователи тестировали именно автономные режимы, где агент может самостоятельно одобрять выполнение команд. В Claude Code это был auto-mode, в Codex — auto-review. При обычном режиме с ручным подтверждением каждого действия сценарий не воспроизводится.

Интересно, что Friendly Fire продолжает серию атак на AI-инструменты разработки, использующие один и тот же фундаментальный принцип — доверие модели к внешнему тексту. Ранее исследователи уже демонстрировали атаки через конфигурационные файлы (TrustFall), символьные ссылки (GhostApproval) и поддельные отчеты об ошибках (Agentjacking). В новом случае оказалось достаточно обычного README.md, который традиционно считается безопасной частью любого репозитория.

Хотя Friendly Fire пока остается proof-of-concept и случаев эксплуатации в реальных атаках не зафиксировано, исследование служит очередным напоминанием: AI-агент, обладающий правом выполнять команды, следует рассматривать как еще один привилегированный модуль инфраструктуры. И если раньше главный угрозой считались уязвимости в коде, который агент анализирует, то теперь объектом атаки становится сам процесс автоматизированного анализа.

Читают сейчас

Honda ввела экзамены по ИИ и денежные премии для сотрудников

1 час назад

Honda ввела экзамены по ИИ и денежные премии для сотрудников

Honda Motor запустила корпоративную программу сертификации по искусственному интеллекту, которая позволяет сотрудникам подтвердить уровень владения ИИ‑инструментами и получить денежное вознаграждение.

2 часа назад

В Google AI Studio завезли импорт с GitHub

В AI Studio Build официально запустили функцию «Import from GitHub». Об этом сообщил Логан Килпатрик, старший продакт-менеджер Google DeepMind, отвечающий за AI Studio и Gemini api. Раньше AI Studio у

3 часа назад

ШАД «Яндекса» заявила о выпуске 390 специалистов по ИИ и машинному обучению в 2026 году

Школа анализа данных (ШАД) «Яндекса» заявила, что в 2026 году выпустила 390 специалистов по искусственному интеллекту, машинному обучению и анализу данных. Сообщается информационной службе а в ШАД, эт

Исследование: теория относительности Эйнштейна определяет характер химических связей в тяжёлых элементах

3 часа назад

Исследование: теория относительности Эйнштейна определяет характер химических связей в тяжёлых элементах

Химики из Университета Брауна представили прямые доказательства, которые опровергают классическое объяснение механизма образования тройных химических связей в тяжёлых элементах. В исследовании, опубли

Центральный университет стал соорганизатором Всероссийской олимпиады по ИИ с поддержкой VK и образовательных программ

3 часа назад

Центральный университет стал соорганизатором Всероссийской олимпиады по ИИ с поддержкой VK и образовательных программ

Центральный университет (ЦУ) в 2026 году стал соорганизатором Всероссийской олимпиады по искусственному интеллекту для школьников 8–11 классов и иностранных учащихся. Сообщается информационной службе