ЧИСТЫЙ РЕПОЗИТОРИЙ НА GITHUB МОЖЕТ ЗАВАЛИТЬ ТВОЮ МАШИНУ. ДА, ДАЖЕ БЕЗ ВРЕДОНОСНОГО КОДА |
||
|
МЕНЮ Главная страница Поиск Регистрация на сайте Помощь проекту Архив новостей ТЕМЫ Новости ИИ Голосовой помощник Разработка ИИГородские сумасшедшие ИИ в медицине ИИ проекты Искусственные нейросети Искусственный интеллект Слежка за людьми Угроза ИИ Атаки на ИИ Внедрение ИИИИ теория Компьютерные науки Машинное обуч. (Ошибки) Машинное обучение Машинный перевод Нейронные сети начинающим Психология ИИ Реализация ИИ Реализация нейросетей Создание беспилотных авто Трезво про ИИ Философия ИИ Big data Работа разума и сознаниеМодель мозгаРобототехника, БПЛАТрансгуманизмОбработка текстаТеория эволюцииДополненная реальностьЖелезоКиберугрозыНаучный мирИТ индустрияРазработка ПОТеория информацииМатематикаЦифровая экономика
Генетические алгоритмы Капсульные нейросети Основы нейронных сетей Промпты. Генеративные запросы Распознавание лиц Распознавание образов Распознавание речи Творчество ИИ Техническое зрение Чат-боты Авторизация |
2026-07-02 15:05 Народ, вот это находка недели - команда 0DIN из Mozilla продемонстрировала атаку, где ИИ-агент сам, добровольно, компрометирует машину разработчика. И самое дикое - репозиторий чист как слеза, никакого malware, подозрительных команд или пейлоадов внутри нет. Социальная инженерия для ИИ, а не для человека Атака нацелена на агентов типа Claude Code и другие coding-ассистенты. Разработчику достаточно попросить агента инициализировать проект из репозитория - дальше всё разворачивается автоматически. Цепочка из трёх шагов индирекции: - README выглядит абсолютно нормально, стандартная инструкция pip3 install -r requirements.txt - Python-пакет специально спроектирован падать с ошибкой при первом запуске и предлагать выполнить команду инициализации вроде python3 -m axiom init - Эта команда дёргает shell-скрипт, который резолвит DNS TXT-запись, контролируемую атакующим, достаёт оттуда base64-пейлоад и пайпит его прямо в bash Итоговый пейлоад - реверс-шелл - физически отсутствует в репозитории, на диске или в открытом сетевом трафике. Он живёт в DNS-записи и может подмениться в любой момент без единого изменения в коде проекта. Почему сканеры и ревьюеры молчат: Исследователи 0DIN сформулировали это красиво: "Claude Code никогда не решал открыть шелл. Он решал исправить ошибку". Каждый отдельный слой цепочки выглядит абсолютно безобидно - статический анализ видит только обычный DNS-запрос, а ИИ-инструмент просто восстанавливается после ожидаемой ошибки, как его и просили. Что получает атакующий на выходе: Интерактивный шелл с правами разработчика - то есть доступ к переменным окружения, API-ключам, токенам и локальным конфигам. Плюс возможность закрепиться бэкдором и остаться в системе даже после завершения сессии. Лайфхаки для защиты: 1. Никогда не доверяй "чистому" репозиторию по умолчанию - чистота на GitHub ничего не гарантирует 2. Требуй от ИИ-агента полное раскрытие цепочки команд перед выполнением, включая динамически подгружаемые скрипты 3. Мониторь DNS-запросы своих dev-окружений - если видишь резолвинг TXT-записей во время "обычной установки", это красный флаг 4. Не запускай агентские тулзы с полными правами разработчика на боевой машине - sandbox или контейнер решают Мой взгляд как хакера: пока атака - только PoC, но векторы распространения уже прописаны - фейковые вакансии, туториалы, статьи в блогах, личка. WAF и антивирусы тут бессильны, потому что каждый кусочек цепочки по отдельности легален. Это новый уровень supply-chain атак - не через код, а через доверие ИИ-агента к процессу восстановления после ошибки. Обфускация теперь живёт не в файле, а в DNS ? Ребята из Mozilla, зафиксировали проблему раньше, чем её начали эксплуатировать в дикой природе. Телеграм: t.me/ainewsline Источник: vk.com Комментарии: |
|