Уязвимость в Claude Code позволяет скрытому вредоносному ПО захватить контроль над системой

Исследователи платформы 0DIN от Mozilla обнаружили критическую уязвимость в инструменте Claude Code. Агент способен исполнять вредоносный код, скрытый в репозиториях GitHub, который активируется через DNS-запросы во время выполнения. Это позволяет злоумышленникам получить полный контроль над машиной разработчика, минуя стандартные методы сканирования кода и проверки безопасности, так как вредоносный функционал не содержится в статических файлах.

Проблема заключается в том, что ИИ-агент при инициализации проекта автоматически выполняет инструкции по настройке, не проводя глубокой проверки безопасности внешних зависимостей. Вредоносный код загружается динамически в процессе работы, что делает его невидимым для инструментов статического анализа и самого ИИ, который воспринимает такие действия как часть легитимного процесса настройки окружения.

Данный кейс подчеркивает риски использования автономных инструментов разработки, имеющих доступ к системным ресурсам. Подобные векторы атак используют доверие агента к конфигурационным файлам, превращая процесс автоматизации в инструмент для компрометации локальной среды разработчика. Это требует пересмотра подходов к изоляции сред, в которых работают ИИ-помощники, и внедрения механизмов верификации действий агентов перед их исполнением.

Ключевые факты

• Исследование проведено специалистами платформы 0DIN, принадлежащей Mozilla.
• Вредоносный код активируется через DNS-запросы в процессе выполнения (runtime), что скрывает его от статических сканеров.
• Атака позволяет злоумышленникам полностью захватить управление над компьютером разработчика.
• Claude Code выполняет вредоносные инструкции автоматически в рамках стандартного процесса настройки репозитория.
• Уязвимость демонстрирует критический риск доверия ИИ-агентам при работе с внешними кодовыми базами.