A tiszta GitHub-tároló is fegyverré válhat az AI kódoló asszisztensek ellen

claude-code

Különös biztonsági rést tárt fel a Mozilla 0din kiberbiztonsági kutatócsoportja, amely rávilágít arra, miként fordítható vissza a mesterséges intelligencia segítőkészsége a fejlesztők ellen. A szakértők sikeresen demonstrálták, hogy a Claude Code és a hozzá hasonló autonóm kódoló asszisztensek rávehetőek rosszindulatú programok és úgynevezett reverse shell (visszafelé irányuló hálózati kapcsolat) futtatására anélkül, hogy magában a kiszemelt GitHub-tárolóban (repository) bármilyen kártékony kód szerepelne.

A segítőkészség csapdája

A támadási lánc az AI-asszisztensek egyik legnagyobb előnyét, az automatikus hibajavítást használja ki fegyverként. A Mozilla 0din csapata egy teljesen ártalmatlannak tűnő, tiszta GitHub-tárolót hozott létre, amely egy szabványos Python-csomagot tartalmazott. A trükk lényege, hogy a csomag futtatáskor szándékosan hibát generál, miközben a hibaüzenetben arra utasítja a felhasználót – vagy jelen esetben az automatizált AI-ügynököt –, hogy futtasson le egy inicializáló parancsot a probléma elhárítására.

A Claude Code a saját belső logikáját követve megpróbálja önállóan kijavítani a hibát, így emberi beavatkozás nélkül végrehajtja a javasolt szkriptet. Ez a parancs azonban egy külső, a támadó által felügyelt DNS TXT rekordból kér le és dekódol egy bázis64 formátumú kártékony kódot. Mivel a GitHub-tároló statikus elemzése során semmilyen gyanús elem nem látható, a hagyományos biztonsági szkennerek teljesen tisztának jelzik a projektet.

Súlyos jogosultságok kerülnek veszélybe

Amikor az AI kódoló asszisztens végrehajtja a dinamikusan letöltött szkriptet, a kártevő azonnal hozzáfér a fejlesztő helyi rendszeréhez. A háttérben megnyíló reverse shell a fejlesztő saját jogosultsági szintjén fut, ami katasztrofális következményekkel járhat a vállalati infrastruktúrára nézve.

 

Érintett terület Kockázat mértéke Kompromittálódó adatok
Környezeti változók Kritikus API-kulcsok, felhős hozzáférési tokenek (AWS, GitHub)
Helyi fájlrendszer Magas Forráskódok, bizalmas dokumentumok, konfigurációs fájlok
Böngésző munkamenetek Magas Mentett jelszavak, aktív bejelentkezési sütik (cookies)

A támadás sikere rávilágít arra, hogy az autonóm fejlesztőeszközök jelenleg vakon bíznak a futtatott csomagok hibaüzeneteiben és instrukcióiban. Ha egy külső forrásból származó kód javítási javaslatként terminálparancsok futtatását kéri, az AI nem mérlegeli a hálózati interakciók mögöttes kockázatait, hanem azonnal végrehajtja azokat a hatékonyság érdekében.

Szigorúbb izolációra van szükség

A kiberbiztonsági szakértők szerint a probléma gyökere az, hogy az AI-ügynökök nem látnak bele a harmadik féltől származó nyílt forráskódú függőségek láncolatába, és a kapott hibákat rutinjellegű helyreállítási lépésekként kezelik. A Mozilla 0din kutatói azt javasolják, hogy az AI kódoló eszközök fejlesztői kötelezően vezessék be a teljes végrehajtási lánc transzparens megjelenítését, beleértve a dinamikusan letöltött szkripteket és a DNS-alapú lekérdezéseket is.

A gyakorlatban a megoldást az jelentené, ha az AI-asszisztenseket teljesen elszigetelt, sandbox környezetben futtatnák a fejlesztők, korlátozott hálózati kimenettel, és minden egyes shell-parancs végrehajtása előtt explicit emberi jóváhagyást követelne meg a rendszer. Amíg a Claude Code és a Cursor típusú platformok automatikusan, ellenőrzés nélkül futtathatnak inicializáló szkripteket, a tiszta GitHub-tárolók mögé rejtett támadások komoly veszélyt jelentenek a szoftveres ellátási láncra.