Исследователи выявили критическую уязвимость в популярных репозиториях с ИИ-инструментами на GitHub. Злоумышленники используют вредоносные скрипты в файлах конфигурации и установочных пакетах, которые автоматически выполняются при клонировании проекта. Это позволяет атакующим получить полный контроль над локальной средой разработчика, красть API-ключи, токены доступа и внедрять бэкдоры в инфраструктуру для работы с моделями.
Проблема затрагивает инструменты, использующие автоматизированные скрипты для настройки окружения, установки зависимостей или подготовки данных. В ходе анализа выяснилось, что многие проекты, предлагающие готовые решения для запуска LLM или агентных фреймворков, не проходят должную проверку безопасности. Пользователи, доверяя популярным репозиториям, часто запускают код с правами администратора, не подозревая о скрытых командах, скрытых в файлах `setup.py`, `post-install` хуках или Docker-конфигурациях.
Этот вектор атаки особенно опасен для специалистов, работающих с облачными инфраструктурами и GPU-кластерами. Компрометация локальной машины через вредоносный репозиторий открывает доступ к облачным учетным записям, где хранятся ключи от платных API и вычислительные мощности. Эксперты рекомендуют проводить аудит всех скриптов перед их выполнением и использовать изолированные среды для тестирования стороннего ПО.
Ключевые факты
- Уязвимость эксплуатирует механизмы автоматического выполнения кода при установке зависимостей (например, через pip или npm).
- Атакующие получают доступ к переменным окружения, где часто хранятся ключи от OpenAI, Anthropic и других облачных сервисов.
- Основной риск связан с использованием `post-install` хуков, которые исполняются без явного подтверждения пользователя.
- Исследование подтвердило наличие вредоносного кода в ряде репозиториев, имитирующих популярные инструменты для автоматизации ИИ-агентов.
- Рекомендуется использовать инструменты для сканирования зависимостей и запускать установку в контейнерах с ограниченными правами доступа.