𝗜 𝗚𝗮𝘃𝗲 𝗖𝗹𝗮𝘂𝗱𝗲 𝗖𝗼𝗱𝗲 𝘁𝗵𝗲 𝗞𝗲𝘆𝘀. 𝗦𝗼 𝗗𝗶𝗱 𝗮 𝗪𝗼𝗿𝗺.
AI कोडिंग एजेंट्स को जेलब्रेक नहीं किया जा रहा है। वे वही कर रहे हैं जिसके लिए आपने उन्हें बनाया है। वे कमांड चलाने के लिए आपके क्रेडेंशियल्स का उपयोग करते हैं। समस्या यह है कि हमलावर इनपुट प्रदान कर सकते हैं।
हालिया कमजोरियां दिखाती हैं कि यह तीन अलग-अलग तरीकों से होता है।
- सप्लाई चेन वर्म (The Supply Chain Worm)
Mini Shai-Hulud नामक एक वर्म ने 170 से अधिक पैकेजों को प्रभावित किया। यह केवल चाबियाँ चुराकर नहीं जाता। यह खुद को आपकी कॉन्फ़िग फाइलों में लिख देता है। यह
.vscode/tasks.jsonया.claude/settings.jsonमें छिप जाता है। जब आप कोई फोल्डर खोलते हैं या सत्र शुरू करते हैं, तो ये फाइलें स्वचालित रूप से कोड चलाती हैं। भले ही आप खराब पैकेज को हटा दें, फिर भी वह दुर्भावनापूर्ण हुक आपके डिस्क पर बना रहता है।
- सप्लाई चेन वर्म (The Supply Chain Worm)
Mini Shai-Hulud नामक एक वर्म ने 170 से अधिक पैकेजों को प्रभावित किया। यह केवल चाबियाँ चुराकर नहीं जाता। यह खुद को आपकी कॉन्फ़िग फाइलों में लिख देता है। यह
- अलाउलिस्ट बाईपास (The Allowlist Bypass)
Cursor एडिटर ऑटो-रन को सुरक्षित बनाने के लिए अलाउलिस्ट का उपयोग करता है। हमलावरों ने
exportजैसे शेल बिल्ट-इन्स का उपयोग करके इसे बायपास करने का तरीका खोज लिया है। प्रॉम्प्ट इंजेक्शन का उपयोग करके, एक हमलावर एजेंट को एक ज़हरीला एनवायरनमेंट वेरिएबल सेट करने के लिए मजबूर कर सकता है। इससे एक स्वीकृत कमांड उस तरह से व्यवहार करने लगता है जिसकी आपने कभी कल्पना भी नहीं की थी। सुरक्षा नियंत्रण विफल रहा क्योंकि इसे इंसानों के लिए बनाया गया था, मशीनों के लिए नहीं।
- अलाउलिस्ट बाईपास (The Allowlist Bypass)
Cursor एडिटर ऑटो-रन को सुरक्षित बनाने के लिए अलाउलिस्ट का उपयोग करता है। हमलावरों ने
- प्रोटोकॉल दोष (The Protocol Flaw)
mcp-remoteप्रॉक्सी में एक गंभीर कमांड इंजेक्शन दोष है। यदि आप किसी दुर्भावनापूर्ण MCP सर्वर से जुड़ते हैं, तो यह हैंडशेक के दौरान आपकी मशीन पर कमांड चला सकता है। ऐसा इसलिए होता है क्योंकि क्लाइंट उस सर्वर पर भरोसा करता है जिससे वह संपर्क करता है।
- प्रोटोकॉल दोष (The Protocol Flaw)
मुख्य मुद्दा सरल है। एक कोडिंग एजेंट डेटा और कमांड के बीच की रेखा को मिटा देता है। एक LLM निर्देशों और बाहरी डेटा को एक ही चीज़ के रूप में देखता है। आपके द्वारा कही गई बात और एजेंट को दुनिया द्वारा कही गई बात के बीच कोई सीमा नहीं है।
खुद को कैसे सुरक्षित रखें:
- अपने एनवायरनमेंट वेरिएबल्स में लंबे समय तक चलने वाली चाबियों के बजाय कम समय तक चलने वाले टोकन का उपयोग करें।
- किसी भी ऐसे कार्य के लिए ऑटो-रन बंद कर दें जो सीक्रेट्स या प्रोडक्शन को छूता हो।
- अप्रत्याशित परिवर्तनों के लिए
.claude/settings.jsonजैसी अपनी कॉन्फ़िग फाइलों पर नज़र रखें। - प्रोवेनेंस अटेस्टेशन (provenance attestations) को उत्पत्ति के प्रमाण के रूप में मानें, सुरक्षा के प्रमाण के रूप में नहीं।
- अपनी डिपेंडेंसीज़ को विशिष्ट हैश पर पिन करें।
अपने AI एजेंट के साथ किसी भी अन्य उच्च-विशेषाधिकार प्राप्त प्रक्रिया की तरह व्यवहार करें। इसे सख्त सीमाओं की आवश्यकता है।
यदि आप एजेंटों को ऑटो-रन मोड में चलाते हैं, तो आप यह कैसे तय करते हैं कि उसे कब काम करने देना है और कब रोकना है?
Source: https://dev.to/kkierii/i-gave-claude-code-the-keys-so-did-a-worm-34a4
Optional learning community: https://t.me/GyaanSetuAi