Новий метод кібератаки, що отримав назву “chain-of-thought poisoning”, дозволяє зловмисникам змусити агентів штучного інтелекту, таких як Claude Code, виконувати шкідливі команди, не вдаючись до традиційних експлойтів чи підозрілих інструкцій. Дослідники з платформи безпеки Mozilla Zero Day Investigative Network (0DIN) продемонстрували, як можна обійти захисні механізми, використовуючи вразливості в процесі налаштування проєктів, що зберігаються в репозиторіях. Ця техніка, описана Bleeping Computer, базується на маніпуляції процесом виконання команд, який штучний інтелект намагається автоматично виправити, розкриваючи приховані загрози.
Суть атаки полягає в створенні на вигляд невинного репозиторію, який, однак, містить приховану логіку. Наприклад, використовується Python-пакет, який вимагає специфічної команди ініціалізації, наприклад, `python3 -m axiom init`, для правильного запуску. Коли агент штучного інтелекту, намагаючись автоматично налаштувати проєкт, виявляє цю “помилку”, він запускає скрипт, що отримує шкідливі команди з DNS TXT-запису, контрольованого зловмисником. Цей процес, незважаючи на відсутність прямої вказівки на шкідливий код, призводить до створення інтерактивної оболонки на комп’ютері розробника, надаючи зловмисникам доступ до конфіденційної інформації, такої як змінні середовища, ключі API та локальні конфігураційні файли.
Механізм атаки: від помилки до оболонки
- Дослідники з 0DIN виявили, що Claude Code, намагаючись виправити помилку в процесі налаштування, фактично виконує команди, які ведуть до компрометації системи.
- Ланцюг подій складається з трьох непрямих кроків: повідомлення про помилку, скрипт, що отримує дані, та DNS-запис, який використовується для передачі шкідливих команд.
- В результаті зловмисник отримує доступ до системи з правами звичайного користувача-розробника.
Потенціал поширення та запобігання
Хоча наразі цей метод атаки представлений як концепція, експерти з 0DIN попереджають про його легкість у поширенні. Такі шкідливі репозиторії можуть розповсюджуватися через різноманітні канали, включаючи фальшиві вакансії, навчальні матеріали, блоги або навіть особисті повідомлення, що створює значний ризик для розробників та компаній.
Фахівці з 0DIN наполягають на необхідності вдосконалення агентів штучного інтелекту, щоб вони надавали повний звіт про виконання команд під час налаштування, включаючи скрипти та динамічно завантажений код. Це дозволить виявляти приховані загрози до їх активізації.
Mozilla Zero Day Investigative Network (0DIN) розглядає цей метод як серйозну загрозу, оскільки він обходить традиційні методи виявлення шкідливого програмного забезпечення. На відміну від попередніх атак, які вимагали явного шкідливого коду або підозрілих команд, “chain-of-thought poisoning” використовує довіру до автоматизованих процесів налаштування.
На думку експертів, розробники, які використовують інструменти штучного інтелекту для автоматизації робочих процесів, повинні бути особливо обережними. Ретельна перевірка коду репозиторіїв, навіть якщо вони виглядають безпечно, стає критично важливою.
Також важливою є співпраця між розробниками інструментів штучного інтелекту та дослідниками безпеки для розробки надійніших механізмів захисту. Наприклад, впровадження додаткових шарів перевірки або використання “пісочниць” для виконання потенційно небезпечних скриптів може значно зменшити ризик успішної атаки.
