Уразливості безпеки в автозапуску Claude Code: що варто знати розробникам
Інститут AI Now оприлюднив нову уразливість у «автозапуску» Claude Code, що залишає розробників з потенційним ризиком віддаленого виконання коду (RCE) під час перевірки сторонніх бібліотек. Цей вектор атаки перетворює рутинний огляд коду на серйозну загрозу злому системи, де працює агент кодування AI.
Цей ризик не є специфічним для роботи моделей
Атака діє на стандартні Claude Code CLI версій від 2.1.116 до 2.1.199 з Claude Sonnet 4.6, Sonnet 5 або Opus 4.8 в режимі автозапуску. Також ймовірність атаки є на Codex CLI версії 0.142.4 з GPT-5.5 в авторежимі. Жодних спеціальних налаштувань, навичок, плагінів або серверів MCP для цього не потрібно.
Рої Еліяху, генеральний директор Salt Security: «Friendly Fire, GitLost, Agentjacking, TrustFall… Всі ці атаки за два місяці вказують на одну проблему: не довіряйте тексту, який може запустити команди. Що ще гірше, агент може не відрізнити власне код та інструкції, які йому надсилають».
Що робить ці атаки можливими?
Claude Code та Codex використовують автозапуск та авторежим, які дозволяють AI-класифікатору схвалювати командні оболонки, які вважаються безпечними. Ці режими розроблені для довготривалої роботи з агентом, зокрема з дослідженням вразливостей, щоб розробник міг розпочати завдання без постійних ручних підказок.
Під час тестування дослідники встановили агенти на Linux-хості, завантажили модифіковану бібліотеку geopy та видали інструкцію на виконання тестування безпеки. Агент виконав код, що контролюється нападником, оскільки документація підтримувала первісне завдання перевірки.
Як захистити розробницьке середовище?
Розробникам варто утриматись від передавання агента кодування ненадійних вихідних кодів, які можуть запускати командні оболонки або мати доступ до хост-файлів, облікових даних, конфігурацій чи віддалених API. Експерименти з інструментами варто проводити на машинах, які не містять продакційних секретів.
Как зазначив Рої Еліяху: «Не віддавайте ненадійний код агенту, який може запускати команди та мати доступ до облікових даних чи хосту. Це призводить до розриву, який ми повинні закрити. Розрив видно до атаки, а не тільки опісля». Ефективне моніторинг дій агентів допоможе попередити виконання зловмисного коду.



