Я віддав Claude Code ключі. Так само зробив і черв'як.
AI-агенти для написання коду не зламуються. Вони роблять саме те, для чого ви їх створили. Вони використовують ваші облікові дані для виконання команд. Проблема полягає в тому, що зловмисники можуть надавати вхідні дані.
Нещодавні вразливості демонструють три різні способи, як це відбувається.
- Черв'як у ланцюжку постачання Черв'як під назвою Mini Shai-Hulud уразив понад 170 пакетів. Він не просто краде ключі й зникає. Він записує себе у ваші конфігураційні файли. Він ховається у .vscode/tasks.json або .claude/settings.json. Ці файли автоматично запускають код, коли ви відкриваєте папку або починаєте сесію. Навіть якщо ви видалите шкідливий пакет, зловмисний хук залишиться на вашому диску.
- Обхід білого списку Редактор Cursor використовує білий список, щоб зробити автозапуск безпечним. Зловмисники знайшли спосіб обійти його за допомогою вбудованих команд оболонки, таких як export. Використовуючи ін'єкцію промпту, зловмисник змушує агента встановити отруєну змінну середовища. Це змушує схвалену команду поводитися не так, як ви планували. Засіб контролю безпеки не спрацював, тому що він був розроблений для людей, а не для машин.
- Помилка протоколу Проксі mcp-remote має критичну вразливість ін'єкції команд. Якщо ви підключитеся до шкідливого MCP-сервера, він може виконувати команди на вашій машині під час рукостискання. Це стається тому, що клієнт довіряє серверу, до якого звертається.
Суть проблеми проста. Агент для написання коду стирає межу між даними та командами. LLM сприймає інструкції та зовнішні дані як одне й те саме. Не існує межі між тим, що кажете ви, і тим, що світ каже агенту.
Як захистити себе:
- Використовуйте короткострокові токени замість довгострокових ключів у ваших змінних середовища.
- Вимкніть автозапуск для будь-якого завдання, яке взаємодіє із секретами або продуктивним середовищем.
- Слідкуйте за своїми конфігураційними файлами, такими як .claude/settings.json, на предмет несподіваних змін.
- Ставтеся до атестацій походження як до підтвердження джерела, а не як до підтвердження безпеки.
- Фіксуйте свої залежності за конкретними хешами.
Ставтеся до свого AI-агента як до будь-якого іншого процесу з високими привілеями. Йому потрібні суворі межі.
Якщо ви запускаєте агентів у режимі автозапуску, як ви вирішуєте, коли дозволити йому працювати, а коли зупинити?
Джерело: https://dev.to/kkierii/i-gave-claude-code-the-keys-so-did-a-worm-34a4
Додаткова спільнота для навчання: https://t.me/GyaanSetuAi