Különös biztonsági rést tárt fel a Mozilla 0din kiberbiztonsági kutatócsoportja, amely rávilágít arra, miként fordítható vissza a mesterséges intelligencia segítőkészsége a fejlesztők ellen. A szakértők sikeresen demonstrálták, hogy a Claude Code és a hozzá hasonló autonóm kódoló asszisztensek rávehetőek rosszindulatú programok és úgynevezett reverse shell (visszafelé irányuló hálózati kapcsolat) futtatására anélkül, hogy magában a kiszemelt GitHub-tárolóban (repository) bármilyen kártékony kód szerepelne.
A segítőkészség csapdája
A támadási lánc az AI-asszisztensek egyik legnagyobb előnyét, az automatikus hibajavítást használja ki fegyverként. A Mozilla 0din csapata egy teljesen ártalmatlannak tűnő, tiszta GitHub-tárolót hozott létre, amely egy szabványos Python-csomagot tartalmazott. A trükk lényege, hogy a csomag futtatáskor szándékosan hibát generál, miközben a hibaüzenetben arra utasítja a felhasználót – vagy jelen esetben az automatizált AI-ügynököt –, hogy futtasson le egy inicializáló parancsot a probléma elhárítására.
A Claude Code a saját belső logikáját követve megpróbálja önállóan kijavítani a hibát, így emberi beavatkozás nélkül végrehajtja a javasolt szkriptet. Ez a parancs azonban egy külső, a támadó által felügyelt DNS TXT rekordból kér le és dekódol egy bázis64 formátumú kártékony kódot. Mivel a GitHub-tároló statikus elemzése során semmilyen gyanús elem nem látható, a hagyományos biztonsági szkennerek teljesen tisztának jelzik a projektet.
Súlyos jogosultságok kerülnek veszélybe
Amikor az AI kódoló asszisztens végrehajtja a dinamikusan letöltött szkriptet, a kártevő azonnal hozzáfér a fejlesztő helyi rendszeréhez. A háttérben megnyíló reverse shell a fejlesztő saját jogosultsági szintjén fut, ami katasztrofális következményekkel járhat a vállalati infrastruktúrára nézve.
| Érintett terület | Kockázat mértéke | Kompromittálódó adatok |
|---|---|---|
| Környezeti változók | Kritikus | API-kulcsok, felhős hozzáférési tokenek (AWS, GitHub) |
| Helyi fájlrendszer | Magas | Forráskódok, bizalmas dokumentumok, konfigurációs fájlok |
| Böngésző munkamenetek | Magas | Mentett jelszavak, aktív bejelentkezési sütik (cookies) |
A támadás sikere rávilágít arra, hogy az autonóm fejlesztőeszközök jelenleg vakon bíznak a futtatott csomagok hibaüzeneteiben és instrukcióiban. Ha egy külső forrásból származó kód javítási javaslatként terminálparancsok futtatását kéri, az AI nem mérlegeli a hálózati interakciók mögöttes kockázatait, hanem azonnal végrehajtja azokat a hatékonyság érdekében.
Szigorúbb izolációra van szükség
A kiberbiztonsági szakértők szerint a probléma gyökere az, hogy az AI-ügynökök nem látnak bele a harmadik féltől származó nyílt forráskódú függőségek láncolatába, és a kapott hibákat rutinjellegű helyreállítási lépésekként kezelik. A Mozilla 0din kutatói azt javasolják, hogy az AI kódoló eszközök fejlesztői kötelezően vezessék be a teljes végrehajtási lánc transzparens megjelenítését, beleértve a dinamikusan letöltött szkripteket és a DNS-alapú lekérdezéseket is.
A gyakorlatban a megoldást az jelentené, ha az AI-asszisztenseket teljesen elszigetelt, sandbox környezetben futtatnák a fejlesztők, korlátozott hálózati kimenettel, és minden egyes shell-parancs végrehajtása előtt explicit emberi jóváhagyást követelne meg a rendszer. Amíg a Claude Code és a Cursor típusú platformok automatikusan, ellenőrzés nélkül futtathatnak inicializáló szkripteket, a tiszta GitHub-tárolók mögé rejtett támadások komoly veszélyt jelentenek a szoftveres ellátási láncra.