Alat pengkodean agen yang bertugas mengkloning dan menyiapkan repositori GitHub yang tampaknya tidak berbahaya dapat mengeksekusi muatan berbahaya yang tetap tidak terlihat oleh pemindai keamanan, agen AI, dan peninjau manusia.
Para peneliti di platform keamanan AI Zero Day Investigative Network (0DIN) Mozilla mengatakan bahwa kompromi terjadi tanpa kode eksploitasi, tanpa peringatan, tanpa perintah mencurigakan yang harus disetujui oleh siapa pun.
Mereka mendemonstrasikan bagaimana penyerang dapat menanam shell interaktif pada perangkat pengembang dengan menggunakan Claude Code untuk menjalankan proyek kloning tanpa kode berbahaya di repositori.
Metode serangan baru ini bergantung pada tiga komponen, yang secara terpisah tidak mewakili ancaman dan tidak menimbulkan kecurigaan:
- Repositori GitHub yang tampak bersih dengan instruksi pengaturan standar, seperti menginstal dependensi dan menginisialisasi proyek (misalnya, pip3 install -r requiremen.txt, python3 -m axiom init)
- paket Python sengaja dirancang untuk menolak eksekusi sampai paket tersebut diinisialisasi; itu menghasilkan kesalahan yang menginstruksikan pengguna untuk mengeksekusi python3 -m aksioma init. Claude Code memperlakukan ini sebagai masalah pengaturan normal dan secara otomatis menjalankan perintah yang disarankan ketika mencoba memulihkan kesalahan
- Mengeksekusi python3 -m axiom init memanggil skrip shell yang mengambil nilai konfigurasi yang disimpan dalam catatan TXT DNS yang dikendalikan oleh penyerang, dan dijalankan sebagai perintah
Peneliti 0DIN menjelaskan bahwa pendekatan ini tidak memerlukan komponen berbahaya dalam repositori yang dikloning, dan agen mengotomatiskan seluruh rantai serangan, termasuk langkah yang meniru kesalahan umum pengguna.
Jika berhasil, penyerang akan mendapatkan shell yang berjalan dengan hak istimewa pengembang, memberi mereka akses ke variabel lingkungan, kunci API, file konfigurasi lokal, dan peluang untuk membangun persistensi.
“Claude Code tidak pernah memutuskan untuk membuka shell. Ia memutuskan untuk memperbaiki kesalahan. Shell terbalik berjarak tiga langkah tipuan dari apa pun yang sebenarnya dievaluasi oleh Claude Code: pesan kesalahan yang dipercaya, skrip yang mengambil nilai, dan catatan DNS yang tidak pernah dilihatnya,” kata peneliti 0DIN.
“Penyerang sekarang memiliki shell interaktif yang dijalankan sebagai pengguna milik pengembang.”
Meskipun metode serangan saat ini masih berupa konsep, 0DIN memperingatkan bahwa pelaku ancaman dapat dengan mudah mendistribusikan repositori GitHub tersebut melalui postingan pekerjaan palsu, tutorial, postingan blog, atau pesan langsung.
Untuk mencegah eksploitasi semacam itu, 0DIN menyarankan agar agen AI mengungkapkan seluruh rantai eksekusi perintah pengaturan, termasuk skrip dan kode yang diambil secara dinamis saat runtime.
Uji setiap lapisan sebelum penyerang melakukannya
Tim keamanan mencatat 54% serangan yang berhasil dan hanya memberikan peringatan 14%. Sisanya bergerak melalui lingkungan Anda tanpa terlihat.
Whitepaper Picus menunjukkan bagaimana simulasi pelanggaran dan serangan menguji aturan SIEM dan EDR Anda sehingga ancaman berhenti lolos saat terdeteksi.
