Уязвимость Claude Code

Подготовлено редакцией Malakhov AI

The Decoder·4 часа назад·1 минИсследованияИндустрия

Исследователи платформы 0DIN от Mozilla обнаружили метод атаки на разработчиков, использующих ИИ-инструмент Claude Code. Вредоносный код хранится не в репозитории, а в DNS-записи, что делает его невидимым для сканеров и ревью кода.

Кратко

—Атака работает через непрямую инъекцию промптов: скрипт установки репозитория загружает команду из DNS и выполняет её.
—Claude Code автоматически запускает вредоносный скрипт при обработке ошибки, открывая reverse shell атакующему.
—Достаточно одной ссылки на репозиторий в Slack или вакансии, чтобы скомпрометировать разработчика с включённым Claude Code.
—Исследователи рекомендуют агентам ИИ показывать содержимое скриптов перед выполнением и относиться к инструкциям из сторонних репозиториев как к ненадёжному коду.

Глоссарий · 3 термина▾

непрямая инъекция промптов: Метод атаки, при котором вредоносные инструкции передаются ИИ-агенту не напрямую от пользователя, а через внешние данные (например, содержимое файла репозитория).
reverse shell: Тип удалённого доступа, при котором жертва сама инициирует соединение с атакующим, что обходит межсетевые экраны.
DNS TXT-запись: Тип записи DNS, который может хранить произвольные текстовые данные, часто используемый для верификации доменов или, в данном случае, для скрытого хранения вредоносных команд.

Исследователи из платформы 0DIN, входящей в программу bug bounty Mozilla GenAI, обнаружили новый вектор атаки на среды разработки с ИИ-агентами. Уязвимость затрагивает Claude Code — инструмент для написания кода, который становится все более популярным среди разработчиков. Атака использует непрямую инъекцию промптов: злоумышленник создаёт репозиторий на GitHub, который при открытии в

Механизм атаки заключается в том, что скрипт установки проекта (например, setup.sh) считывает команду из DNS TXT-записи. Эта команда никогда не находится в самом репозитории, поэтому её невозможно обнаружить при статическом анализе или ревью кода. Когда Claude Code запускает такой скрипт, он сталкивается с обычной ошибкой и автоматически запускает предложенный скрипт для её исправления. На самом деле этот скрипт устанавливает reverse shell — атакующий получает полный контроль над машиной разработчика.

С помощью reverse shell злоумышленник может извлечь API-ключи, учётные данные для входа и закрепиться в системе для длительного доступа. Для компрометации достаточно, чтобы разработчик просто перешёл по ссылке на репозиторий в сообщении Slack, вакансии или туториале. Исследователи отмечают, что атака не уникальна для Claude Code: любой ИИ-агент, который автоматически выполняет команды без проверки пользователем, может быть уязвим.

Claude Code автоматически запускает вредоносный скрипт при обработке ошибки, открывая reverse shell атакующему.

Решение проблемы, предложенное исследователями: ИИ-агенты должны показывать содержимое скрипта перед выполнением, а разработчики — относиться к инструкциям из сторонних репозиториев как к ненадёжному коду. Mozilla уже уведомлена, Anthropic также проинформирована. На момент публикации официальные патчи не выпущены.

Разобраться глубже

Какие бизнес-процессы автоматизировать с помощью ИИ: матрица и 10 сценариев

Какие процессы реально автоматизировать с помощью ИИ в 2026 году: матрица фильтров эффект×сложность×риск×данные, 10 готовых сценариев, развёрнутый кейс агентства и калькулятор окупаемости поддержки интернет-магазина.

Внедряю ИИ в бизнес — обсудим задачу

Аудит, пилотные проекты, полное внедрение. Начинаем с консультации.

Перейти к услугам

Получать анонсы в Telegram

Ежедневный дайджест лучших материалов об ИИ