Wyciek kodu Claude: Naukowcy znajdują pierwszą lukę w zabezpieczeniach

31 marca Anthropic, firma stojąca za Claude AI, przypadkowo umieściła w sieci dużą część kodu stojącego za agentem kodującym Claude Code. Od tego czasu, Anthropic próbuje podjąć działania przeciwko kopiom tego kodu. Analitycy znaleźli już w kodzie pewne informacje, które są potencjalnie niewygodne dla Anthropic. Obejmuje to protokół YOLO.

Chociaż wyciek nie wpłynął na żadne wagi modeli, zapewnia on szczegółowy plan działania narzędzia. Ułatwia to potencjalnym atakującym identyfikację ukierunkowanych luk w zabezpieczeniach lub tworzenie bardzo przekonujących kopii programu, które mogłyby rozprzestrzeniać złośliwe oprogramowanie. W tym kontekście zespół Adversa AI odkrył krytyczną lukę w zabezpieczeniach w systemie uprawnień Claude Code.

Claude Code to asystent oparty na terminalu, który działa bezpośrednio w wierszu poleceń i może edytować pliki, a także wykonywać polecenia powłoki. Aby zachować bezpieczeństwo, narzędzie wykorzystuje system reguł uprawnień. Użytkownicy mogą zdefiniować tak zwane reguły odmowy, które ściśle blokują określone polecenia, takie jak polecenie "curl", które służy do przesyłania danych przez sieć. Inne polecenia, takie jak "git" do kontroli wersji, mogą być natomiast wyraźnie dozwolone.

Odkryta luka polega na obsłudze złożonych łańcuchów poleceń. Aby uniknąć problemów z wydajnością i zawieszania się interfejsu użytkownika, Anthropic ogranicza szczegółową analizę bezpieczeństwa do maksymalnie 50 podpoleceń. Jeśli łańcuch poleceń jest dłuższy, poszczególne kontrole są pomijane, a użytkownikowi wyświetlany jest ogólny monit z pytaniem, czy polecenie powinno zostać wykonane.

Zachowanie to można wykorzystać poprzez wstrzyknięcie monitu. W tym typie ataku atakujący manipuluje danymi wejściowymi sztucznej inteligencji w celu ominięcia jej filtrów bezpieczeństwa. W szczególności atakujący może umieścić zmanipulowany plik o nazwie "CLAUDE.md" w publicznym repozytorium oprogramowania. Plik ten zawiera instrukcje dla agenta AI. Jeśli deweloper sklonuje repozytorium i poprosi agenta o przejrzenie projektu, sztuczna inteligencja może zostać poinstruowana, aby wykonać łańcuch ponad 50 pozornie legalnych poleceń.

Oto pełny artykuł oparty na Państwa wymaganiach i podanym przez Państwa otworze.

Zagrożenie bezpieczeństwa w Claude Code: Wyciek umożliwia kradzież danych

Wkrótce po przypadkowym wycieku kodu źródłowego, w agencie kodującym sztuczną inteligencję Claude Code odkryto krytyczną lukę w zabezpieczeniach. Pozwala ona atakującym na ominięcie reguł bezpieczeństwa i kradzież poufnych danych, takich jak klucze SSH z maszyn deweloperów.

31 marca Anthropic, firma stojąca za Claude AI, przypadkowo umieściła w Internecie dużą część kodu stojącego za agentem kodującym Claude Code. Kod źródłowy stał się dostępny dzięki przypadkowej publikacji tak zwanej mapy źródłowej, pliku, który tłumaczy skompilowany kod programu z powrotem na postać czytelną dla człowieka, na npm, menedżerze pakietów dla JavaScript. W rezultacie naukowcy byli w stanie zrekonstruować kod agenta AI. Wynik wynosi około 512 000 linii TypeScript, języka programowania zbudowanego na JavaScript, który dodaje dodatkowe typowanie.

Chociaż żadne wagi modeli ani dane klientów nie zostały bezpośrednio ujawnione, wyciek zapewnia szczegółowy plan działania narzędzia. Ułatwia to potencjalnym atakującym identyfikację ukierunkowanych luk w zabezpieczeniach lub tworzenie bardzo przekonujących kopii programu, które mogłyby rozprzestrzeniać złośliwe oprogramowanie. W tym kontekście zespół Adversa AI odkrył krytyczną lukę w zabezpieczeniach systemu uprawnień Claude Code.

Claude Code to asystent oparty na terminalu, który działa bezpośrednio w wierszu poleceń i może edytować pliki, a także wykonywać polecenia powłoki. Aby zachować bezpieczeństwo, narzędzie wykorzystuje system reguł uprawnień. Użytkownicy mogą zdefiniować tak zwane reguły odmowy, które ściśle blokują określone polecenia, na przykład polecenie "curl", które służy do przesyłania danych przez sieć. Inne polecenia, takie jak "git" do kontroli wersji, mogą być natomiast wyraźnie dozwolone.

Odkryta luka polega na obsłudze złożonych łańcuchów poleceń. Aby uniknąć problemów z wydajnością i zawieszania się interfejsu użytkownika, Anthropic ogranicza szczegółową analizę bezpieczeństwa do maksymalnie 50 podpoleceń. Jeśli łańcuch poleceń jest dłuższy, poszczególne kontrole są pomijane, a użytkownikowi wyświetlany jest ogólny monit z pytaniem, czy polecenie powinno zostać wykonane.

Zachowanie to można wykorzystać poprzez tzw. wstrzyknięcie monitu. W tym typie ataku atakujący manipuluje danymi wejściowymi do sztucznej inteligencji w celu ominięcia jej filtrów bezpieczeństwa. W szczególności atakujący może umieścić zmanipulowany plik o nazwie "CLAUDE.md" w publicznym repozytorium oprogramowania. Plik ten zawiera instrukcje dla agenta AI. Jeśli deweloper sklonuje repozytorium i poprosi agenta o zbudowanie projektu, sztuczna inteligencja może zostać poinstruowana, aby wykonać łańcuch ponad 50 pozornie legalnych poleceń.

Począwszy od 51. polecenia, indywidualnie skonfigurowane reguły odmowy nie mają już zastosowania. Podczas gdy pojedyncze polecenie "curl" zostałoby zablokowane, jest ono ignorowane, gdy jest osadzone w długim łańcuchu. Pozwala to atakującym na wysyłanie poufnych danych, takich jak klucze SSH, klucze kryptograficzne używane do bezpiecznego zdalnego dostępu do serwerów lub dane uwierzytelniające w chmurze z lokalnej maszyny programisty na zewnętrzny serwer w tle. Ponieważ system w tym przypadku żąda jedynie ogólnego potwierdzenia, użytkownik nie zauważa, że jego zasady bezpieczeństwa zostały skutecznie zastąpione.

Na szczególną uwagę zasługuje fakt, że wyciekły kod źródłowy wersji 2.1.88 zawierał już poprawkę tego problemu. Anthropic opracował bardziej nowoczesny parser, program używany do analizy struktur kodu, który poprawnie sprawdza reguły odmowy niezależnie od długości łańcucha poleceń. Nie zostało to jednak zaimplementowane w publicznych wersjach programu. Zamiast tego nadal używano starszego, wadliwego mechanizmu.

Wygląda na to, że Anthropic w międzyczasie rozwiązał ten problem. Według dziennika zmian dla wersji 2.1.90naprawiono błąd opisany jako degradacja zasady odmowy parsowania. Jednakże, według badaczy z , którzy zidentyfikowali którzy zidentyfikowali potencjalną lukę w zabezpieczeniach, istnieją inne sposoby rozwiązania tego problemu.