Новости echo "/"; rm -rf /; echo — и Claude Code говорит «отличная идея, выполняю»

[NewsMaker]

ИИ оказался болтливее пьяного программиста и выдал хакерам все свои секреты.

---

---

Во время этапа предварительного тестирования кода Claude специалисты компании Cymulate Для просмотра ссылки Войди или Зарегистрируйся два критически опасных дефекта, способных превратить помощника для программистов в инструмент Для просмотра ссылки Войди или Зарегистрируйся к системе. Уязвимости позволяли обойти ограничения на работу с файловой системой и внедрять произвольные команды, причём в обоих случаях сам ИИ-ассистент невольно помогал раскрыть свои же слабые места.

Речь идёт об уязвимостях Для просмотра ссылки Войди или Зарегистрируйся и Для просмотра ссылки Войди или Зарегистрируйся , которым были присвоены высокие оценки по шкале CVSS — 7.7 и 8.7 соответственно. Первая затрагивает механизм ограничения доступа к файловой структуре, вторая — систему выполнения команд, встроенную в Claude Code. Обе проблемы уже устранены в версиях v0.2.111 и v1.0.20, но до обновления атакующий мог использовать самого помощника, чтобы проанализировать его поведение и сформировать запрос, приводящий к захвату контроля.

ИИ-помощник Claude Code был создан для Для просмотра ссылки Войди или Зарегистрируйся : он умеет писать и анализировать код по командам на естественном языке, а также запускать его в изолированной среде. Для защиты пользователя система использует белый список команд и ограничивает доступ к файлам за пределами текущей рабочей директории. Однако как показал Элад Бебер, исследователь из Cymulate, сами эти защитные меры были уязвимы из-за слишком упрощённой логики валидации.

Проблема с проверкой пути ( Для просмотра ссылки Войди или Зарегистрируйся ) заключалась в том, что Claude определял допустимость операций на основе простого сравнения префикса путей. Если рабочая директория была, например, /Users/developer/project, то ассистент также разрешал действия с папкой /Users/developer/project_malicious, считая их идентичными по началу строки. Такая наивная проверка допускала обход всех ограничений и позволяла проникать за пределы безопасной области, особенно при использовании Для просмотра ссылки Войди или Зарегистрируйся .

Вторая уязвимость, Для просмотра ссылки Войди или Зарегистрируйся , затрагивала механизм запуска команд из белого списка. Claude разрешал выполнение только ограниченного набора команд без дополнительного подтверждения, но не проводил должной фильтрации содержимого аргументов. Это означало, что при определённой структуре строки можно было внедрить произвольные команды внутрь легитимного вызова. Исследователь показал, что команда вроде echo “/”; malicious_command; echo /”” успешно проходит валидацию и полностью исполняется, поскольку ключевое слово echo считается безопасным.

Особую опасность представляет то, как именно были обнаружены уязвимости. Бебер воспользовался возможностями самого Claude — тот, не осознавая сути запроса, охотно объяснял, как устроены его внутренние механизмы и как они могут быть обойдены. Такая форма атаки, получившая название InversePrompt, позволяет атакующему использовать модель как инструмент реверс-инжиниринга для поиска своих же слабых мест.

Anthropic отреагировала на инцидент оперативно, выпустив обновления, закрывающие оба дефекта. Однако сам факт того, что интеллектуальный помощник способен непреднамеренно раскрывать детали собственной архитектуры, вызывает Для просмотра ссылки Войди или Зарегистрируйся к дизайну подобных систем. В мире, где ИИ-инструменты всё чаще становятся связующим звеном между человеком и системным уровнем, требования к их изоляции, фильтрации и проверке ввода должны быть не менее строгими, чем в классических ОС.