ИИ-агенты запускают скрытый малварь прямо из GitHub: уязвимость Claude Code и не только

Специалисты Mozilla с платформы 0DIN продемонстрировали атаку, при которой один скомпрометированный GitHub-репозиторий получает полный контроль над машиной разработчика в момент запуска AI-кодинг-агента, такого как Claude Code. Зловредный код активируется только во время выполнения через DNS-запрос, оставаясь невидимым в репозитории для сканеров и самого AI-агента.

Проблема в том, что современные AI-инструменты для программирования, включая Claude Code, не проверяют код на наличие скрытых угроз при настройке окружения. Атакующий может внедрить малварь, которая обходит стандартные проверки и запускается без ведома разработчика. Это ставит под сомнение безопасность автоматизированных сред разработки, где ИИ выполняет команды без человеческой верификации.

Хотя исследование сфокусировано на Claude Code, метод атаки применим и к другим AI-агентам, работающим с внешними репозиториями. Mozilla призывает разработчиков внедрять дополнительные меры безопасности, такие как изоляция сред выполнения и предварительная проверка скриптов, чтобы избежать захвата систем.