Могут ли взломать компьютер через ИИ-помощника

от автора

Теперь взломать компьютер могут ИИ-агенты, но они не собирались делать этого.

Теперь взломать компьютер могут ИИ-агенты, но они не собирались делать этого.

С выходом нейросетей на их современный уровень и широким их распространением все острее встает вопрос кибербезопасности. Больше всего сомнений вызывают агенты, которые могут не просто отвечать на запросы, но и выполнять сложные последовательные действия, в том числе с программированием. По сути, ИИ-агента вроде Claude Code можно обманом заставить запустить у вас на машине чужой код, хотя сам репозиторий будет выглядеть абсолютно чистым. Вот и давайте разберемся, стоит ли этого бояться. Усложнять не будем, но факты рассмотрим.

Опасность ИИ-агентов

Возьмем довольно частый сценарий. Вы клонируете репозиторий, открываете Claude Code и просите поднять проект. Ассистент начинает работу, ставит зависимости и бодро сообщает, что окружение готово. И вот в этот момент у какого-то человека в киношном гротескном капюшоне и темной комнате где-то там далеко уже есть доступ к вашему компьютеру. То есть он может спокойно начать выгребать ваши ключи. Самое неприятное в том, что в репозитории не было ни строчки вредоносного кода.

В конце июня 2026 года команда 0DIN (подразделение Mozilla) наделала немало шума, показав рабочий пример такой атаки на Claude Code. Важен не сам трюк, а причина, по которой он сработал. Опасность пряталась не в коде, а в услужливости агента. И от этого подобные помощники никуда не денутся в ближайшее время.

Как работает атака через Claude Code

Атака работает довольно просто. Вы даете агенту ссылку и просите настроить проект. Он читает README, ставит зависимости и пробует запустить один из пакетов. Авторы исследования назвали пакет axiom, разместив его под видом инструмента мониторинга. Он был подготовлен так, чтобы при первом запуске выдать довольно правдоподобную ошибку с призывом выполнить инициализацию командой init.

Вот здесь и была подмена. Агент, увидев ошибку, попытался помочь, поэтому послушно запустил инициализацию. У него не было цели сделать что-то опасное и навредить пользователю. Он просто решает исправить ошибку. И в этом заключается суть атаки.

Нельзя сказать, что Claude Code самый опасный, просто проверили уязвимость именно на нем

Нельзя сказать, что Claude Code самый опасный, просто проверили уязвимость именно на нем

В итоге, init запускает небольшой скрипт, а тот достает одно значение конфигурации. Но оно лежит не в репозитории, а подтягивается в момент запуска из DNS-записи, которой управляет злоумышленник. То есть что пришло, то и выполняется. В демонстрационном примере пришел reverse shell — обратное подключение с вашей машины на сервер атакующего.

На экране появляется честное «окружение готово», вы ничего не подозреваете, а за кадром к системе уже получил доступ кто-то посторонний. Исследователи объяснили это попытками агента исправить ошибку. То есть он не хотел ничего плохого, просто делал свое дело. Но от этого не легче.

Может ли антивирус защитить компьютер при работе ИИ-агента

Опасность заключается в том, что сканеры и антивирусы смотрят на фактическую угрозу, а ее тут нет. Файлы репозитория чистые, и даже человек может их прочитать, не найдя подвоха. Агент тоже не бьет тревогу из-за того, что по отдельности они безобидны. В этот момент вредоносной инструкции просто нет, она появится, только когда скрипт обратится к DNS.

Добивают картину детали. Чтение конфигурации из TXT-записи выглядит вполне обычно, на них держится куча настроек. Значение закодировано в base64, поэтому сигнатура шелла не всплывает ни на диске, ни в трафике. А нагрузку можно поменять когда угодно, отредактировав запись. Формально это непрямой промпт-инжект, но совершенно неважно, как это называется. Важно то, что каждый слой по отдельности является нормой, но вместе они создают угрозу.

Добавлю только, что риски есть не только при использовании Claude Code. Просто именно на нем испытали уязвимость, и это выбор по умолчанию для большинства. Но точно так же в зоне риска находятся Cursor, GitHub Copilot, Gemini CLI и любой другой агент, который сам ставит и сам чинит что-либо. И пусть на момент проведения тестирования в мире не было зафиксировано подобных атак, но менее слабым это место не становится, учитывайте это.

Стоит ли пользоваться ИИ-агентами и как от них защититься

Агент работает с вашими правами, значит, атакующий получает то же, что вы. Это могут быть ключи API, облачные доступы, GITHUB_TOKEN, .env, ключи SSH, сессии браузера и многое другое. Машина разработчика — это своего рода сейф, а инструмент живет внутри такого сейфа и может взаимодействовать с контентом, находящимся снаружи.

Как это часто бывает, защита не требует ничего сверхъестественного. Незнакомый репозиторий — это недоверенный код. Чистый вид такого кода не говорит о безопасности. Понимание этого уже решает многие проблемы.

Только в песочнице агент будет работать максимально безопасно.

Только в песочнице агент будет работать максимально безопасно.

Не перекладывайте безопасность на агента, он просто запускает чужое ровно потому, что доверяет ему, а нейросети могут ошибаться. Мы уже разбирали в отдельной статье, как и почему нейронки ошибаются. Пусть агент перед выполнением задачи покажет всю цепочку до запуска, а на шагах с выходом в сеть держите ручное подтверждение. И не лишним будет использовать изоляцию. Это либо контейнер, либо встроенная в Claude Code песочница для bash-команд, которая ограничивает и файловую систему, и сеть, а включается командой /sandbox.

В любом случае, отказываться от ИИ-агентов не стоит. Эти инструменты очень полезны, и мы сами пользуемся ими в своей работе. Однажды даже скормили Claude сотню чужих сборок с Хабра на проверку и написали об этом. Получилось интересно.

То, что мы видели, это уязвимость для неподготовленных пользователей, воссозданная в лабораторных условиях и совсем не значит, что так будет с каждым. Тем более, что все это постепенно лечится. Например, другую похожую утечку ключей через DNS в Claude Code закрыли еще в 2025 году. Так что вполне возможно, что к моменту, когда вы это читаете, вариант с axiom уже прикрыт.

Но мораль вот в чем. Заплатка на один скрипт не закрывает весь класс. Урок не в том, что опасен один репозиторий, а в том, что агент услужливо выполнит шаги, которые сам не оценивал. Агент должен разбирать, что именно запустится и откуда, а не слепо идти по шагам. И тут надо для себя определиться, насколько вы ему доверяете. Инструмент строго выполнит команду, а с уровнем доступа к данным надо определиться вам.

ссылка на оригинал статьи https://habr.com/ru/articles/1058908/