Эпоха автономных кодинг-агентов открывает ящик Пандоры с уязвимостями, которые невозможно заметить привычными методами аудита. Исследователи из 0DIN (платформа Mozilla по поиску багов в системах генеративного ИИ) обнаружили вектор атаки через непрямую промпт-инъекцию, позволяющий получить полный контроль над машиной разработчика. Суть проблемы в архитектурной наивности: инструменты вроде Claude Code слишком доверчиво исполняют скрипты при возникновении стандартных ошибок, превращая открытие репозитория в акт цифрового самоубийства.
Техническая изящность этого эксплойта в том, что он ускользает от любых сканеров и ручного ревью. Как отмечают в 0DIN, вредоносный код вообще не хранится в репозитории GitHub. Вместо этого обычный setup-скрипт подтягивает команды через DNS-запись непосредственно во время выполнения. Когда Claude Code натыкается на штатную ошибку в этом скрипте, он «заботливо» запускает автоматическое исправление, инициируя обратное соединение (reverse shell) на сервер атакующего. С этого момента все ваши API-ключи и учетные данные становятся достоянием общественности, а злоумышленник получает постоянный доступ к системе.
Главные риски автономных агентов
Скрытая подгрузка команд через DNS-записи, невидимая для статических анализаторов кода. Избыточное доверие агента к среде выполнения при попытке автоматического исправления ошибок. Отсутствие обязательного подтверждения пользователем (human-in-the-loop) перед запуском критических команд. Компрометация всей корпоративной инфраструктуры через одну вредоносную ссылку в рабочем мессенджере.
Ситуация требует радикального пересмотра модели доверия к сторонним репозиториям. По мнению экспертов 0DIN, архитектуру агентов необходимо пересобрать на базе принципа участия человека: отображение содержимого любого исполняемого скрипта перед запуском должно быть обязательным. Сегодня же одной ссылки в Slack достаточно, чтобы обнулить безопасность корпоративной инфраструктуры. Разрыв между удобством «автономного кода» и реальностью инъекций через рантайм остается критическим риском, который бизнес пока предпочитает игнорировать.
Обещать тотальную автономию и при этом позволять скриптам тянуть команды из DNS-записей — это смелое, если не сказать безрассудное, архитектурное решение.
Claude Code доверяет репозиторию больше, чем здравому смыслу разработчика, которому так и не дали кнопку подтверждения действия. В мире, где агент стремится исправить каждую ошибку за вас, главной ошибкой становится само использование такого агента без присмотра.