Скачал, открыл, уничтожил. Как ИИ-агенты вроде Claude и Copilot отдают ваш компьютер хакерам без вашего ведома
NewsMakerДостаточно одной невидимой строчки текста, чтобы превратить ваше устройство в кибероружие.
На недавней конференции Chaos Communication Congress в Германии прозвучало новое предостережение относительно угроз, связанных с использованием ИИ-агентов . По словам специалиста по информационной безопасности Иоганна Ребергера, компьютер с установленной системой вроде Claude Code, GitHub Copilot, Google Jules или аналогичными решениями моментально становится уязвимым к атакам, не требующим участия пользователя. Достаточно одной строки на веб-странице или в документе, чтобы агент получил вредоносные инструкции.
Согласно представленным демонстрациям , ИИ-ассистенты оказываются особенно подвержены атакам через внедрение команд в обычные текстовые запросы. Одним из примеров стал сайт, на котором содержалась единственная фраза с просьбой загрузить файл. Claude , использующий инструмент взаимодействия с компьютером, не просто скачал его, но и автоматически сделал исполняемым, запустил терминал и подключил устройство к ботнету. Для выполнения этих действий не требовалось даже нажатия клавиш со стороны пользователя.
Ребергер подчеркнул, что модели машинного обучения обладают значительными возможностями, но крайне уязвимы при наличии злоумышленника. Он также указал, что крупные компании, такие как Anthropic, не устраняют сами по себе уязвимости в логике работы агентов, поскольку они заложены в архитектуре систем. Устройства, на которых задействованы ИИ-инструменты, следует рассматривать как уже скомпрометированные, особенно если у агентов есть доступ к функциям управления компьютером.
Во время выступления был продемонстрирован целый ряд сценариев, в которых агенты выполняют вредоносные команды . Один из них включал заражение через разделённые инструкции, размещённые на разных сайтах. В частности, ИИ-помощник Devin, получив частичные команды из двух источников, развернул веб-сервер, открыл доступ к файлам пользователя и передал ссылку злоумышленнику.
На недавней конференции Chaos Communication Congress в Германии прозвучало новое предостережение относительно угроз, связанных с использованием ИИ-агентов . По словам специалиста по информационной безопасности Иоганна Ребергера, компьютер с установленной системой вроде Claude Code, GitHub Copilot, Google Jules или аналогичными решениями моментально становится уязвимым к атакам, не требующим участия пользователя. Достаточно одной строки на веб-странице или в документе, чтобы агент получил вредоносные инструкции.
Согласно представленным демонстрациям , ИИ-ассистенты оказываются особенно подвержены атакам через внедрение команд в обычные текстовые запросы. Одним из примеров стал сайт, на котором содержалась единственная фраза с просьбой загрузить файл. Claude , использующий инструмент взаимодействия с компьютером, не просто скачал его, но и автоматически сделал исполняемым, запустил терминал и подключил устройство к ботнету. Для выполнения этих действий не требовалось даже нажатия клавиш со стороны пользователя.
Ребергер подчеркнул, что модели машинного обучения обладают значительными возможностями, но крайне уязвимы при наличии злоумышленника. Он также указал, что крупные компании, такие как Anthropic, не устраняют сами по себе уязвимости в логике работы агентов, поскольку они заложены в архитектуре систем. Устройства, на которых задействованы ИИ-инструменты, следует рассматривать как уже скомпрометированные, особенно если у агентов есть доступ к функциям управления компьютером.
Во время выступления был продемонстрирован целый ряд сценариев, в которых агенты выполняют вредоносные команды . Один из них включал заражение через разделённые инструкции, размещённые на разных сайтах. В частности, ИИ-помощник Devin, получив частичные команды из двух источников, развернул веб-сервер, открыл доступ к файлам пользователя и передал ссылку злоумышленнику.