Claude kód szivárgás: Kutatók megtalálják az első sebezhetőséget

Március 31-én az Anthropic, a Claude AI mögött álló vállalat véletlenül feltette a Claude Code kódoló ügynök kódjának nagy részét az internetre. Azóta, Az Anthropic megpróbálta hogy fellépjen a kód másolatai ellen. Az elemzők máris találtak néhány olyan információt a kódban, amely potenciálisan kellemetlen lehet az Anthropic számára. Ezek közé tartozik a YOLO protokoll is.

Bár a kiszivárgás nem érintette a modell súlyát, az eszköz működésének részletes vázlatát tartalmazza. Ez megkönnyíti a potenciális támadók számára a célzott sebezhetőségek azonosítását vagy a program rendkívül meggyőző másolatainak létrehozását, amelyekkel rosszindulatú programokat terjeszthetnek. Ezzel összefüggésben az Adversa AI csapata kritikus biztonsági hibát fedezett fel a Claude Code engedélyezési rendszerében.

A Claude Code egy terminálalapú asszisztens, amely közvetlenül a parancssorban dolgozik, és képes fájlokat szerkeszteni, valamint shell parancsokat végrehajtani. A biztonság fenntartása érdekében az eszköz engedélyezési szabályok rendszerét használja. A felhasználók úgynevezett tiltó szabályokat határozhatnak meg, amelyek szigorúan blokkolnak bizonyos parancsokat, például a "curl" parancsot, amelyet a hálózaton keresztüli adatátvitelre használnak. Más parancsok, mint például a verziókezelő "git", ezzel szemben kifejezetten engedélyezhetők.

A felfedezett sebezhetőség az összetett parancsláncok kezelésében rejlik. A teljesítményproblémák és a felhasználói felület lefagyásának elkerülése érdekében az Anthropic a részletes biztonsági elemzést legfeljebb 50 alparancsra korlátozza. Ha egy parancslánc ennél hosszabb, az egyes ellenőrzések kimaradnak, és a felhasználónak egy általános kérés jelenik meg, amely megkérdezi, hogy a parancsot végre kell-e hajtani.

Ez a viselkedés kihasználható prompt injekcióval. Az ilyen típusú támadás során a támadó manipulálja a mesterséges intelligencia bemeneteit annak érdekében, hogy megkerülje a biztonsági szűrőket. Konkrétan egy támadó egy manipulált "CLAUDE.md" nevű fájlt helyezhet el egy nyilvános szoftvertárban. Ez a fájl a mesterséges intelligencia-ügynök utasításait tartalmazza. Ha egy fejlesztő klónozza a tárolót, és megkéri az ügynököt, hogy vizsgálja felül a projektet, a mesterséges intelligencia utasítást kaphat arra, hogy hajtson végre egy több mint 50 látszólag legitim parancsból álló láncot.

Íme a teljes cikk az Ön követelményei és az Ön által megadott megnyitás alapján.

Biztonsági kockázat a Claude kódban: A kiszivárgás adatlopást tesz lehetővé

Nem sokkal egy véletlen forráskód-szivárgás után kritikus sebezhetőséget fedeztek fel a Claude Code nevű mesterséges intelligencia-kódoló ügynökben. Ez lehetővé teszi a támadók számára, hogy megkerüljék a biztonsági szabályokat, és érzékeny adatokat, például SSH-kulcsokat lopjanak el a fejlesztők gépeiről.

Március 31-én az Anthropic, a Claude AI mögött álló vállalat véletlenül online tette a Claude Code kódolóügynök mögötti kód nagy részét. A forráskód egy úgynevezett source map, azaz egy olyan fájl véletlen közzététele révén vált hozzáférhetővé, amely a lefordított programkódot fordítja vissza ember által olvasható formába, az npm, a JavaScript csomagkezelőn. Ennek eredményeként a kutatóknak sikerült rekonstruálniuk a mesterséges intelligencia-ügynök kódját. Az eredmény mintegy 512 000 sornyi TypeScriptet tesz ki, amely egy JavaScriptre épülő programozási nyelv, amely további tipizálást ad hozzá.

Bár közvetlenül nem kerültek nyilvánosságra modellsúlyok vagy ügyféladatok, a kiszivárgás részletes tervrajzot ad az eszköz működéséről. Ez megkönnyíti a potenciális támadók számára a célzott sebezhetőségek azonosítását vagy a program rendkívül meggyőző másolatainak létrehozását, amelyekkel rosszindulatú programokat terjeszthetnek. Ezzel összefüggésben az Adversa AI csapata kritikus biztonsági hibát fedezett fel a Claude Code engedélyezési rendszerében.

A Claude Code egy terminálalapú asszisztens, amely közvetlenül a parancssorban dolgozik, és képes fájlokat szerkeszteni, valamint shell-parancsokat végrehajtani. A biztonság fenntartása érdekében az eszköz engedélyezési szabályok rendszerét használja. A felhasználók úgynevezett tagadási szabályokat határozhatnak meg, amelyek szigorúan blokkolnak bizonyos parancsokat, például a "curl" parancsot, amelyet a hálózaton keresztüli adatátvitelre használnak. Más parancsok, például a verziókezelő "git" ezzel szemben kifejezetten engedélyezhetők.

A felfedezett sebezhetőség az összetett parancsláncok kezelésében rejlik. A teljesítményproblémák és a felhasználói felület lefagyásának elkerülése érdekében az Anthropic a részletes biztonsági elemzést legfeljebb 50 alparancsra korlátozza. Ha egy parancslánc ennél hosszabb, az egyes ellenőrzések kimaradnak, és a felhasználónak egy általános kérés jelenik meg, amely megkérdezi, hogy a parancsot végre kell-e hajtani.

Ez a viselkedés kihasználható az úgynevezett prompt injection segítségével. Az ilyen típusú támadás során a támadó manipulálja a mesterséges intelligencia bemeneteit annak érdekében, hogy megkerülje a biztonsági szűrőket. Konkrétabban, egy támadó elhelyezhet egy manipulált "CLAUDE.md" nevű fájlt egy nyilvános szoftvertárban. Ez a fájl a mesterséges intelligencia-ügynök utasításait tartalmazza. Ha egy fejlesztő klónozza a tárolót, és megkéri az ügynököt, hogy építse meg a projektet, a mesterséges intelligencia utasítást kaphat arra, hogy hajtson végre egy több mint 50 látszólag legitim parancsból álló láncot.

Az 51. paranccsal kezdődően az egyedileg konfigurált tiltó szabályok már nem érvényesek. Míg egyetlen "curl" parancsot blokkolna a rendszer, egy hosszú láncba ágyazva figyelmen kívül hagyja. Ez lehetővé teszi a támadók számára, hogy érzékeny adatokat, például SSH-kulcsokat, a szerverek biztonságos távoli eléréséhez használt kriptográfiai kulcsokat vagy a felhő hitelesítő adatait a fejlesztő helyi gépéről a háttérben egy külső szerverre küldjék. Mivel a rendszer ebben az esetben csak általános megerősítést kér, a felhasználó nem veszi észre, hogy a biztonsági szabályzatát gyakorlatilag felülbírálták.

Különösen figyelemre méltó, hogy a 2.1.88-as verzió kiszivárgott forráskódja már tartalmazott egy javítást erre a problémára. Az Anthropic kifejlesztett egy modernebb parsert, egy kódszerkezetek elemzésére használt programot, amely a parancslánc hosszától függetlenül helyesen ellenőrzi a tagadási szabályokat. Ezt azonban nem implementálták a program nyilvános verzióiba. Ehelyett továbbra is a régebbi hibás mechanizmust használták.

Úgy tűnik, hogy az Anthropic időközben megoldotta a problémát. A 2.1.90-es verzióhoz tartozó changelog szerint, egy parse-fail fallback deny-rule degradációként leírt problémát javítottak. Azonban a kutatók szerint, akik azonosították a potenciális biztonsági rést, más módon is lehet kezelni a problémát.