Услужливость как уязвимость: Claude Code обманули без единой строчки вредоносного кода

Исследователи из Mozilla Zero Day Investigative Network (0DIN) продемонстрировали атаку, в которой ИИ-агент для кодинга Claude Code сам запускает вредоносный исходник — хотя в репозитории нет ни одной вредоносной строки. Это не эксплуатация уязвимости в привычном смысле: ни zero-day, ни обхода аутентификации. Атакующие используют саму логику агента — его привычку, наткнувшись на ошибку, тут же пытаться ее починить.

Достаточно попросить агента развернуть инициатива из на вид чистого репозитория, и срабатывает цепочка из трех безобидных по отдельности звеньев:

• в репозитории лежит Python-пакет, который при установке специально падает с ошибкой и подсказывает выполнить команду инициализации (что-то вроде python3 -m axiom init);

• агент воспринимает это как штатную проблему первого запуска, сам выполняет подсказанную команду, а та дергает сценарий;

• скрипт читает не URL, который можно просканировать, а DNS TXT-запись на стороне атакующего, получает оттуда строку в base64 и исполняет ее.

Вредоноса в репозитории нет — он подгружается только в момент запуска. Поэтому статические сканеры, SAST и SBOM ничего не находят, а саму нагрузку можно подменять прямо в DNS-записи, не делая ни одного коммита. На выходе атакующий получает reverse shell с правами самого разработчика: доступ к api-ключам, переменным окружения, локальным конфигам и функция закрепиться в системе. И агент, и человек одновременно видят только сообщение вроде "окружение готово". "Claude Code не решал открывать шелл. Он решал починить ошибку", — формулируют в 0DIN; обратный шелл оказывается в трех шагах от всего, что агент реально проверял.

Пока это proof-of-concept, в реальных атаках техника не замечена. Но раздавать такие репозитории несложно — через фейковые тестовые задания при найме, обучающие проекты, статьи в блогах или просто личным сообщением разработчику. И это уже не единичный трюк: пару недель назад был похожий по духу случай с репозиториями Microsoft, где вредонос срабатывал при открытии папки в ИИ-агентах — правда, через конфиг-файлы, а не через DNS. Совокупный принцип один: мишенью становится готовность агента действовать самостоятельно.

Задача не только в Claude Code — в той или другой форме ей подвержены Cursor, GitHub Copilot и Gemini CLI, поскольку все они одинаково охотно выполняют шаги по настройке проекта. 0DIN советует разработчикам не доверять незнакомому проекту как проверенному коду и перепроверять команды, которые предлагает агент, а создателям агентов — показывать пользователю всю цепочку выполняемых действий, в том числе то, что подгружается в рантайме. Тогда DNS-нагрузка всплыла бы до запуска, а не после.

P.S. Поддержать меня можно подпиской на канал "сбежавшая нейросеть", где я рассказываю про ИИ с творческой стороны.