Claude Code атака через DNS: как AI-агент запускает вредоносный скрипт из GitHub
Исследователи безопасности с платформы 0DIN (Mozilla GenAI bug bounty) обнаружили новый вектор атаки на разработчиков, использующих AI-агента Claude Code. Злоумышленник может получить полный контроль над машиной разработчика через обычный на вид GitHub-репозиторий — без единой строки вредоносного кода в самом репозитории.
Источник: the-decoder.com
Для бизнеса это означает: любой сотрудник, который открывает сторонний репозиторий с помощью Claude Code, может скомпрометировать корпоративные системы. API-ключи, логины и доступ к инфраструктуре оказываются под угрозой.
Проверьте, какие AI-агенты используются в вашей команде, и введите правило: ни один скрипт из стороннего репозитория не должен выполняться без предварительного просмотра.
Что именно произошло: атака через DNS и установочный скрипт
29 июня 2026 года исследователи 0DIN опубликовали описание атаки, которая использует особенности работы Claude Code. Вредоносный репозиторий на GitHub выглядит как обычный проект с документацией и кодом. При открытии такого репозитория Claude Code автоматически запускает установочный скрипт.
Скрипт не содержит вредоносного кода — он загружает команду из DNS-записи во время выполнения. Это делает атаку невидимой для сканеров безопасности, ревью кода и самого AI-агента. Claude Code видит только безобидный скрипт, но при выполнении тот открывает reverse shell — канал, через который злоумышленник получает полный доступ к машине.
После этого атакующий может: - извлечь API-ключи и логины; - получить постоянный доступ к системе; - использовать машину как точку входа в корпоративную сеть.
Почему это касается каждой команды, использующей AI-агентов
Атака не требует сложных технических навыков от жертвы. Достаточно одного клика по ссылке в вакансии, туториале или сообщении в Slack. Любой разработчик, тестировщик или инженер, который использует Claude Code для работы с чужим кодом, становится потенциальной целью.
Для руководителя это означает: - риск компрометации корпоративных репозиториев; - утечку ключей доступа к облачным сервисам; - потерю контроля над инфраструктурой разработки.
Проблема не ограничивается Claude Code. Любой AI-агент, который автоматически выполняет скрипты из сторонних источников без проверки, уязвим для подобной атаки.
Как атака работает: пошаговый сценарий
| Шаг | Действие | Результат для жертвы |
|---|---|---|
| 1 | Злоумышленник создает репозиторий с установочным скриптом | Репозиторий выглядит как обычный проект |
| 2 | Разработчик открывает репозиторий через Claude Code | AI-агент запускает установочный скрипт |
| 3 | Скрипт загружает команду из DNS-записи | Вредоносный код не хранится в репозитории |
| 4 | Claude Code выполняет команду | Открывается reverse shell |
| 5 | Злоумышленник получает доступ к машине | API-ключи, логины, инфраструктура под угрозой |
Что можно проверить за неделю без перестройки компании
- Определите, какие AI-агенты используются в команде. Составьте список инструментов, которые автоматически выполняют код из репозиториев.
- Проверьте политики выполнения скриптов. Убедитесь, что AI-агенты не запускают установочные скрипты без подтверждения пользователя.
- Настройте изоляцию (sandboxing). Запускайте AI-агентов в среде с ограниченными правами — без доступа к API-ключам, продакшен-инфраструктуре и корпоративным репозиториям.
- Введите правило просмотра скриптов. Перед выполнением любого скрипта из стороннего репозитория его должен проверить человек.
- Обучите команду. Объясните разработчикам, что ссылка на репозиторий в вакансии или туториале может быть атакой.
Что может не сработать и где остаются риски
- Обновления AI-агентов. Разработчики инструментов (Anthropic для Claude Code) могут выпустить исправления, но это не гарантирует полной защиты. Атака использует фундаментальную особенность: AI-агент доверяет скрипту из репозитория.
- Сканеры безопасности. Вредоносный код не хранится в репозитории, поэтому традиционные сканеры его не обнаружат. DNS-запись может быть изменена после проверки.
- Человеческий фактор. Разработчик может не заметить подозрительную DNS-запись или проигнорировать предупреждение AI-агента.
- Сторонние репозитории. Даже если ваша команда не использует Claude Code, другие AI-агенты могут иметь аналогичные уязвимости.
Что сделать на этой неделе: практический чек-лист
- [ ] Составить список всех AI-агентов, используемых в команде, и проверить их политики выполнения кода.
- [ ] Настроить изоляцию (sandboxing) для AI-агентов — ограничить доступ к API-ключам и продакшен-инфраструктуре.
- [ ] Ввести правило: любой скрипт из стороннего репозитория перед выполнением проверяется человеком.
- [ ] Провести короткое обучение команды: как распознать подозрительный репозиторий и что делать при подозрении на атаку.
- [ ] Проверить, есть ли у используемых AI-агентов режим "только просмотр" без автоматического выполнения.
- [ ] Настроить мониторинг DNS-запросов для обнаружения подозрительных команд, загружаемых во время выполнения.
Источники
- The Decoder: Claude Code runs a GitHub repo's hidden malware without verification
- 0DIN — Mozilla GenAI bug bounty platform
Дополнительные материалы
Примеры реальных инцидентов
Хотя атака через DNS-записи является новой, подобные методы уже использовались в прошлом. Например, в 2023 году была зафиксирована атака на разработчиков через вредоносные npm-пакеты, которые загружали команды из внешних источников. Это подчеркивает важность проактивной защиты.
Рекомендации по настройке sandboxing
Для изоляции AI-агентов можно использовать Docker-контейнеры или виртуальные машины. Пример конфигурации для Docker:
FROM python:3.11-slim
RUN useradd -m sandbox
USER sandbox
COPY --chown=sandbox:sandbox . /app
WORKDIR /app
CMD ["python", "script.py"]
Этот контейнер не имеет доступа к API-ключам и другим чувствительным данным.
Вопросы для обсуждения с командой
- Какие AI-агенты мы используем и какие у них политики выполнения кода?
- Есть ли у нас процессы для проверки сторонних репозиториев?
- Как мы можем улучшить мониторинг подозрительной активности?
Эти вопросы помогут выявить слабые места и разработать план действий.
Заключение
Атака через DNS-записи — это серьезная угроза, которая требует немедленного внимания. Используя чек-лист и рекомендации из этой статьи, вы сможете снизить риски и защитить свою команду. Помните: безопасность — это непрерывный процесс, а не разовое действие.
Генерация изображения
- Модель:
flux-schnell - Провайдер:
replicate
Темы журнала
Что почитать дальше
- Claude Code без Anthropic API: подключение китайских LLM GLM 5 и экономия
- Claude пишет 80% кода в Anthropic: почему ревью стало узким местом
- Anthropic исследование Claude Code: 4% разницы — риск для production
- Anthropic под давлением регуляторов: что изменить в работе с Claude в 2026
- Claude Fable 5 под экспортным запретом: смена переговорщика в Anthropic и что ждать бизнесу до конца 2025