Saya Memberikan Kunci kepada Claude Code. Begitu Juga dengan Cacing.
Ejen pengekodan AI tidak sedang di-"jailbreak". Mereka melakukan tepat apa yang anda bina untuk mereka lakukan. Mereka menggunakan kredensial anda untuk menjalankan arahan. Masalahnya ialah penyerang boleh membekalkan input tersebut.
Kerentanan baru-baru ini menunjukkan tiga cara berbeza bagaimana perkara ini berlaku.
- Cacing Rantaian Bekalan (The Supply Chain Worm)
Sebuah cacing yang dipanggil Mini Shai-Hulud telah menyerang lebih 170 pakej. Ia tidak sekadar mencuri kunci dan pergi. Ia menulis dirinya ke dalam fail konfigurasi anda. Ia bersembunyi dalam
.vscode/tasks.jsonatau.claude/settings.json. Fail-fail ini menjalankan kod secara automatik apabila anda membuka folder atau memulakan sesi. Walaupun anda memadam pakej yang berniat jahat tersebut, "hook" berbahaya itu tetap kekal pada cakera anda.
- Cacing Rantaian Bekalan (The Supply Chain Worm)
Sebuah cacing yang dipanggil Mini Shai-Hulud telah menyerang lebih 170 pakej. Ia tidak sekadar mencuri kunci dan pergi. Ia menulis dirinya ke dalam fail konfigurasi anda. Ia bersembunyi dalam
- Pintasan Senarai Benar (The Allowlist Bypass)
Editor Cursor menggunakan senarai benar (allowlist) untuk menjadikan pelaksanaan automatik (auto-run) selamat. Penyerang menemui jalan pintas dengan menggunakan fungsi terbina dalam shell seperti
export. Dengan menggunakan suntikan arahan (prompt injection), penyerang memaksa ejen menetapkan pemboleh ubah persekitaran yang telah dicemari. Ini menyebabkan arahan yang diluluskan berkelakuan dengan cara yang tidak pernah anda maksudkan. Kawalan keselamatan tersebut gagal kerana ia dibina untuk manusia, bukan mesin.
- Pintasan Senarai Benar (The Allowlist Bypass)
Editor Cursor menggunakan senarai benar (allowlist) untuk menjadikan pelaksanaan automatik (auto-run) selamat. Penyerang menemui jalan pintas dengan menggunakan fungsi terbina dalam shell seperti
- Kecacatan Protokol (The Protocol Flaw)
Proksi
mcp-remotemempunyai kecacatan suntikan arahan yang kritikal. Jika anda menyambung ke pelayan MCP yang berniat jahat, ia boleh melaksanakan arahan pada mesin anda semasa proses "handshake". Ini berlaku kerana klien mempercayai pelayan yang dihubungi.
- Kecacatan Protokol (The Protocol Flaw)
Proksi
Isu terasnya adalah mudah. Ejen pengekodan menghapuskan garis pemisah antara data dan arahan. LLM melihat arahan dan data luar sebagai perkara yang sama. Tiada sempadan antara apa yang anda katakan dan apa yang dunia katakan kepada ejen tersebut.
Cara untuk melindungi diri anda:
- Gunakan token jangka pendek berbanding kunci jangka panjang dalam pemboleh ubah persekitaran anda.
- Matikan pelaksanaan automatik (auto-run) untuk sebarang tugas yang melibatkan rahsia atau pengeluaran (production).
- Pantau fail konfigurasi anda seperti
.claude/settings.jsonuntuk sebarang perubahan yang tidak dijangka. - Anggap pengesahan asal-usul (provenance attestations) sebagai bukti punca, bukan bukti keselamatan.
- Tetapkan (pin) kebergantungan (dependencies) anda kepada hash yang khusus.
Layani ejen AI anda seperti mana-mana proses berkeistimewaan tinggi yang lain. Ia memerlukan sempadan yang ketat.
Jika anda menjalankan ejen dalam mod pelaksanaan automatik (auto-run), bagaimanakah anda memutuskan bila untuk membiarkannya bekerja dan bila untuk menghentikannya?
Source: https://dev.to/kkierii/i-gave-claude-code-the-keys-so-did-a-worm-34a4
Optional learning community: https://t.me/GyaanSetuAi