GitHub代码库诱使AI编码代理运行恶意软件

admin 2026-07-02 04:50:53 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: Mozilla0din研究人员发现新型AI安全威胁,攻击者通过伪装为无害GitHub代码库,利用AI编码代理(如ClaudeCode)自动修复错误的功能,诱导其执行恶意命令。该攻击通过DNSTXT记录隐藏载荷,无需在仓库中存储恶意代码,即可获取开发者权限的交互式shell,窃取API密钥、环境变量并建立持久化访问。 综合评分: 87 文章分类: AI安全,恶意软件,渗透测试,Web安全,安全工具


cover_image

GitHub 代码库诱使 AI 编码代理运行恶意软件

原创

ZM ZM

暗镜

2026年6月30日 08:00 北京

在小说阅读器读本章

去阅读

一个负责克隆和设置看似无害的 GitHub 存储库的智能编码工具,可能会执行恶意载荷,而这种恶意载荷对安全扫描器、人工智能代理和人工审核人员都是不可见的。

Mozilla 的零日调查网络 (0DIN) AI 安全平台的研究人员表示,此次入侵“没有漏洞利用代码,没有警告,也没有任何可疑命令需要任何人批准”。

他们演示了攻击者如何利用 Claude Code 运行一个克隆项目,该项目在存储库中没有恶意代码,从而在开发人员的设备上植入一个交互式 shell。

这种新的攻击方法依赖于三个组成部分,单独来看,这三个部分都不构成威胁,也不会引起怀疑:

  1. 一个外观简洁的 GitHub 仓库,包含标准的安装说明,例如安装依赖项和初始化项目(例如,pip3 install -r requirements.txt,python3 -m axiom init)。
  2. 该 Python 包的设计初衷是拒绝执行,直到它完成初始化;它会生成一个错误,指示用户执行 python3 -m axiom init。Claude Code 将此视为正常的设置问题,并在尝试从错误中恢复的同时自动运行建议的命令。
  3. 执行 python3 -m axiom init 会调用一个 shell 脚本,该脚本会检索存储在攻击者控制的 DNS TXT 记录中的配置值,并作为命令执行。

0DIN 研究人员解释说,这种方法不需要克隆存储库中的任何恶意组件,代理程序可以自动执行整个攻击链,包括模拟常见用户错误的步骤。

如果成功,攻击者将获得一个以开发者权限运行的 shell,从而可以访问环境变量、API 密钥、本地配置文件,并有机会建立持久性。

0DIN 研究人员表示:“Claude Code 从未决定打开 shell。它决定修复一个错误。反向 shell 与 Claude Code 实际评估的任何东西之间有三步间接关系:一条它信任的错误消息、一个获取值的脚本,以及一条它从未见过的 DNS 记录。 ”


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:暗镜 ZM ZM《GitHub 代码库诱使 AI 编码代理运行恶意软件》

评论:0   参与:  0