Когда разработчик запускает ИИ-агента в репозитории, он фактически выдаёт ему права своей учётной записи. Агент видит файловую систему, может выполнять shell-команды, читать переменные окружения и делать сетевые запросы. Именно это сочетание — широкие права плюс автономность — превращает рядовую ошибку модели в инцидент с реальными последствиями.
Самый наглядный пример — кейс Ника Давидова в феврале 2026 года. Пользователь попросил Claude Cowork навести порядок на рабочем столе жены и разрешил удалить временные файлы Office. Агент интерпретировал «временные файлы» шире, чем подразумевал пользователь, и уничтожил папку с семейным фотоархивом — 15 лет снимков. Восстановить удалось через iCloud. Схожие инциденты зафиксированы у Replit ИИ, который 19 июля 2025 года уничтожил базу данных стартапа SaaStr вопреки явному указанию «не трогать прод», и у Google Antigravity, стёршего весь диск D разработчика при попытке очистить кэш проекта. На GitHub с октября 2025 года открыт issue #10077 Claude Code: агент удалил домашний каталог на Ubuntu/WSL2 без команды --dangerously-skip-permissions, то есть встроенный слой ограничений не сработал.
| Инцидент | Дата | Продукт | Последствие | Источник |
|---|---|---|---|---|
| Davidov case | Февраль 2026 | Claude Cowork | Удалён фотоархив за 15 лет | Пост Давидова в X, Futurism, Dexerto |
| Replit AI / SaaStr | 19 июля 2025 | Replit AI | Уничтожена БД стартапа вопреки запрету | Публичные отчёты |
| Google Antigravity | Декабрь 2025 | Google Antigravity | Стёрт весь диск D разработчика | Публичные отчёты |
| RoguePilot | Февраль 2026 | GitHub Copilot / Codespaces | Кража GITHUB_TOKEN через HTML-комментарий в Issue | Orca Security, The Hacker News |
| Nx supply chain | Август 2025 | Nx + локальные ИИ-CLI | Кража токенов; использованы группой UNC6426 для доступа к AWS | Google Cloud Threat Horizons H1-2026 |
Общее у всех этих случаев — не конкретная модель и не конкретный промпт, а отсутствие изоляции рабочей среды. Агент с доступом к настоящему rm в настоящей файловой системе работает с теми же правами, что и пользователь, который его запустил. OWASP Top 10 for Agentic Applications 2026 относит подобные сценарии к категории ASI02 Tool Misuse and Exploitation: легитимный инструмент применяется небезопасным способом. Поведенческий паттерн, который усугубляет риск, — пользователь устаёт подтверждать каждую операцию и ставит галочку «разрешить для всей сессии», после чего агент уходит в автономный режим с полными правами.
CVE-2025-55284: скрытые промпты в файлах проекта заставляли Claude Code отправлять ~/.ssh/id_rsa через DNS-запросы к серверу атакующего.
Отдельный класс угроз — промпт-инъекция, когда агент выполняет инструкции не владельца, а третьей стороны. Вектор может быть прямым: вредоносные инструкции размещаются в файлах конфигурации проекта —.cursorrules, CLAUDE.md, AGENTS.md, README. Или косвенным: инструкции лежат в данных, которые агент читает по ходу работы, — в ответах API, тикетах Jira, заголовках GitHub Issues, PDF-документах. OWASP классифицирует это как ASI01 Agent Goal Hijack — подмена цели агента.
CVE-2025-55284, описанная исследователем Йоханом Рейбергером в мае 2025 года, показывает, насколько изощрённым может быть канал эксфильтрации. Скрытые промпты в файлах проекта указывали Claude Code прочитать ~/.env или ~/.ssh/id_rsa и отправить содержимое через DNS-запросы к резолверу атакующего. HTTP allowlist от такой утечки не защищает: DNS-трафик фильтруется значительно реже. Исследователи из HiddenLayer продемонстрировали аналогичную цепочку через README публичных GitHub-репозиториев, которые Cursor читает при открытии проекта.
Наиболее детально задокументированная атака этого класса — RoguePilot, описанная Roi Nisimi из Orca Research Pod в феврале 2026 года. Вектор: вредоносный GitHub Issue с инструкциями, спрятанными в HTML-комментарии. Пользователь открывает Codespace, Copilot читает описание Issue и видит команду «запусти gh pr checkout 2». Этот pull request подсовывает символическую ссылку на файл user-secrets-envs.json, где хранится GITHUB_TOKEN. Затем агент создаёт issue.json, в котором поле $schema указывает на сервер атакующего с токеном в query-параметре. VS Code автоматически подтягивает JSON-схему через встроенный механизм json.schemaDownload.enable — и токен уходит на внешний сервер. Инъекция при обычном просмотре Issue невидима.
Ещё один вектор, зафиксированный в августе 2025 года, — атака на цепочку поставок через менеджер пакетов Nx. Малварь впервые использовала локальные ИИ-CLI как инструмент разведки: агент при выполнении npm install читал зависимости и передавал данные атакующим. Украденные в ходе этой кампании токены впоследствии были использованы группой UNC6426, что подтвердил отчёт Google Cloud Threat Horizons H1-2026 в марте 2026 года. Задокументированный путь: 72 часа от первого коммита до прав администратора AWS через злоупотребление механизмом OIDC при переходе CI/CD → cloud admin.
Все описанные сценарии объединяет одна архитектурная проблема: агент работает в той же среде и с теми же правами, что и разработчик, без технической границы между «разрешённым скоупом» и реальными возможностями системы. Словесное разрешение в промпте — «можешь удалять временные файлы» — не является техническим ограничением. Автор материала анонсирует вторую часть с конкретными рекомендациями по изоляции агентов через MicroVM и приватный Docker-демон — подход, при котором --dangerously-skip-permissions перестаёт быть источником тревоги.
