Agenci AI mogą zainstalować malware z GitHuba. Badacze pokazali niepokojący scenariusz

Programiści coraz częściej powierzają sztucznej inteligencji nie tylko pisanie kodu, ale również konfigurację całych środowisk pracy. Najnowsze badania zespołu 0din z Mozilli pokazują jednak, że taka wygoda może mieć bardzo wysoką cenę. Eksperci udowodnili, że agent AI odpowiedzialny za programowanie może samodzielnie uruchomić złośliwe oprogramowanie, nawet jeśli repozytorium w serwisie GitHub wygląda na całkowicie bezpieczne.

W eksperymencie wykorzystano Claude Code od Anthropic, jednak badacze podkreślają, że problem dotyczy znacznie większej liczby narzędzi opartych na agentach AI.

Pozornie czyste repozytorium może ukrywać pułapkę

Scenariusz przygotowany przez badaczy nie opiera się na klasycznym ukrywaniu szkodliwego kodu. Wręcz przeciwnie, repozytorium prezentuje się jak zwykły projekt zawierający podstawowe pliki startowe i dokumentację. Nie ma w nim elementów, które mogłyby natychmiast wzbudzić podejrzenia systemów bezpieczeństwa.

Wystarczy jednak, że użytkownik poprosi Claude Code o zainicjowanie projektu lub skonfigurowanie środowiska po sklonowaniu repozytorium. Agent rozpoczyna pracę od odczytania instrukcji zapisanych w pliku README, gdzie znajduje się opis konfiguracji środowiska Python z wykorzystaniem popularnego narzędzia Axiom. Na pierwszy rzut oka wszystko wygląda całkowicie normalnie.

AI próbuje pomóc i wpada w zastawioną pułapkę

Badacze wykorzystali naturalną skłonność modeli AI do rozwiązywania problemów. Podstawiony skrypt Axiom został przygotowany tak, aby podczas pierwszego uruchomienia zgłaszał błąd. Claude, chcąc pomóc użytkownikowi, samodzielnie uruchamia kolejne polecenie inicjalizacyjne. Właśnie w tym momencie rozpoczyna się właściwy atak.

Uruchomiony zostaje skrypt powłoki pobierający dodatkowe dane konfiguracyjne. Tego rodzaju operacje są codziennością podczas instalacji wielu legalnych aplikacji, dlatego nie wzbudzają większych podejrzeń. Najciekawszy element całego ataku pojawia się dopiero później.

Złośliwy kod ukryty w rekordach DNS

Zamiast pobierać pliki z podejrzanego adresu internetowego, skrypt odczytuje rekordy TXT zapisane w systemie DNS. Tego typu rekordy są powszechnie wykorzystywane przez usługi pocztowe i systemy konfiguracyjne, dlatego aktywność wygląda całkowicie niewinnie.

W rzeczywistości rekord DNS zawiera zakodowany ciąg znaków zapisany w formacie Base64. Po jego odszyfrowaniu uruchamiana jest odwrócona powłoka zapewniająca atakującemu zdalny dostęp do komputera ofiary.

Z perspektywy programisty wszystko wygląda poprawnie. Agent AI wyświetla komunikat informujący o pomyślnym przygotowaniu środowiska, a użytkownik nie ma świadomości, że jego komputer został przejęty.

Atak może otworzyć dostęp do całego środowiska programisty

Po uzyskaniu dostępu cyberprzestępca może przejąć praktycznie wszystkie zasoby dostępne na komputerze użytkownika. Wśród nich znajdują się klucze API, repozytoria kodu źródłowego, hasła zapisane w przeglądarkach, dokumentacja projektowa czy aktywne sesje internetowe.

Badacze ostrzegają, że napastnik może również zainstalować kolejne komponenty malware, utrzymując długotrwałą obecność w systemie.

Eksperci zwracają uwagę, że pojedynczy etap ataku nie wygląda podejrzanie. Dopiero połączenie kilku pozornie niegroźnych działań prowadzi do przejęcia kontroli nad komputerem.

Narzędzia bezpieczeństwa mogą mieć problem

Według zespołu 0din większość popularnych skanerów bezpieczeństwa prawdopodobnie nie oznaczy takiego repozytorium jako zagrożenia. Poszczególne elementy ataku przypominają bowiem standardowe operacje wykonywane każdego dnia przez tysiące programistów. Jedynie środowiska korporacyjne z bardzo restrykcyjnymi zasadami dostępu sieciowego mogą wykryć niektóre etapy ataku.

Badacze podkreślają, że zaprezentowany scenariusz jest jedynie demonstracją możliwości. W praktyce cyberprzestępcy mogą przygotować znacznie bardziej rozbudowane i trudniejsze do wykrycia warianty.

Eksperci apelują o ostrożność

Mozilla ostrzega, że programiści nie powinni traktować nieznanych projektów jako w pełni zaufanych tylko dlatego, że zostały pobrane z GitHuba. Równie niebezpieczne może być bezkrytyczne poleganie na agentach AI podczas konfiguracji środowiska.

Zdaniem badaczy przyszłe generacje agentów kodujących powinny analizować nie tylko wykonywane polecenia, ale również rzeczywiste konsekwencje swoich działań. W przeciwnym razie sztuczna inteligencja może stać się nieświadomym pomocnikiem cyberprzestępców.