Исследователи из 0DIN — платформы Mozilla по поиску уязвимостей в GenAI-системах — нашли атаку, которая захватывает компьютер разработчика через обычный с виду GitHub-репозиторий. Всё что нужно атакующему — чтобы жертва открыла его с помощью AI-агента вроде Claude Code.
Схема выглядит так. В репозитории лежит скрипт настройки. При запуске он обращается к DNS-записи и загружает оттуда вредоносную команду прямо в момент исполнения. В самом репозитории никакого вредоносного кода нет — его не видят сканеры безопасности, ревьюеры и сам AI-агент.
Дальше срабатывает ключевой момент: Claude Code встречает штатное сообщение об ошибке во время настройки и автоматически запускает скрипт для её исправления. Скрипт открывает обратный шелл — соединение, через которое атакующий получает полный контроль над машиной. Оттуда можно забрать API-ключи, учётные данные и закрепиться в системе надолго.
Для успешной атаки достаточно разместить ссылку на репозиторий в вакансии, обучающей статье или сообщении в рабочем чате. Кто угодно, кто откроет такой репозиторий с AI-инструментом, окажется скомпрометирован.
Исследователи назвали два способа защиты. Первый — AI-агенты должны показывать содержимое скрипта настройки до его запуска, а не выполнять его молча. Второй — разработчики должны относиться к инструкциям настройки из сторонних репозиториев как к недоверенному коду, а не как к обычному тексту.
Атака относится к классу косвенных инъекций (indirect prompt injection): вместо того чтобы напрямую давать вредоносные инструкции AI-модели, атакующий встраивает их в данные, которые агент обрабатывает в рамках обычной задачи. Это один из сложнейших классов угроз для AI-агентов — модель не может отличить инструкцию от данных, если они выглядят одинаково.
