Уязвимость Claude Code: один репо — полный захват ПК

Одной ссылки на GitHub-репозиторий — из вакансии, туториала или сообщения в мессенджере — достаточно, чтобы захватить полный контроль над машиной разработчика через Claude Code. Платформа Mozilla 0DIN, которая занимается поиском уязвимостей в системах на основе генеративного ИИ, 29 июня опубликовала атаку под названием «Clone this repo and I own your machine» — «Клонируй репо, и машина моя».

Схема специально устроена так, чтобы её не было видно. Вредоносный репозиторий содержит setup-скрипт, который выглядит абсолютно безобидно — потому что опасная нагрузка в репозитории вообще не хранится. В момент установки скрипт делает DNS-запрос и получает команду из TXT-записи домена. Поскольку вредоносная нагрузка живёт в DNS, а не в коде, её не видит ни статический сканер, ни сам Claude Code при анализе файлов проекта.

Почему Claude Code запускает скрипт без предупреждения

Когда Claude Code натыкается на обычную ошибку в процессе установки репозитория — такие ошибки случаются постоянно — он не останавливается. Агент автоматически запускает setup-скрипт, не показывая его содержимое и не запрашивая подтверждения. Итог: открывается обратный шелл (это соединение, через которое атакующий управляет чужим компьютером удалённо), утекают API-ключи и токены доступа, устанавливается бэкдор, который продолжает работать даже после закрытия терминала.

Поверхность атаки огромная. Вредоносные репозитории можно распространять через фейковые технические задания в вакансиях, через туториалы, рекомендующие конкретные проекты на GitHub, через сообщения в Slack, Telegram или Discord. Разработчики, которые доверяют ИИ-агентам автономную установку зависимостей, рискуют больше всего: агент по умолчанию считает встреченный код безопасным.

Что ИИ-агенты должны делать иначе

Исследователи 0DIN рекомендуют: ИИ-агенты должны показывать полное содержимое setup-скриптов перед их выполнением и по умолчанию воспринимать инструкции по установке из сторонних репозиториев как потенциально ненадёжный код. Это не запредельная планка — операционные системы давно предупреждают о запуске скачанных исполняемых файлов. Проблема в том, что ИИ-агенты для разработки быстро получили привилегии на запуск команд в терминале, работу с файловой системой и выполнение скриптов — а модель безопасности за этим не поспела. Anthropic пока не анонсировала сроки исправления.

По сути, это атака на цепочку поставок, чья сила — в том, что опасная нагрузка никогда не появляется в коде. Ни человек, ни ИИ её не заметит при ревью: вредоносная команда материализуется только в момент DNS-запроса во время установки. Разрыв между тем, что написано в коде, и тем, что происходит в рантайме, — и есть суть проблемы.