Цифрова незалежність з оновленням Immich 3.0
Ціна автономності сучасних ШІ-інструментів

Сучасні інструменти розробки, такі як Claude Code, Cursor або GitHub Copilot, перестали бути просто просунутими сервісами автозаповнення тексту. Вони перетворилися на активних учасників процесу, здатних розгортати проєкти, встановлювати залежності та взаємодіяти з терміналом. Ця «слухняність» — здатність агента самостійно вирішувати проблеми, що виникають, — створює небезпечний прецедент: ШІ починає довіряти інструкціям, закладеним у самому коді, який він аналізує.
Механіка атаки, представлена командою 0DIN, елегантна у своїй простоті та повністю оминає традиційні засоби захисту. У репозиторії немає явних експлойтів або підозрілих скриптів, які могли б помітити статичні аналізатори (SAST) або системи управління складом ПЗ (SBOM). Натомість використовується багатоступеневий ланцюжок подій, де кожен елемент окремо виглядає цілком безпечним.
Усе починається з Python-пакета, який під час встановлення навмисно генерує помилку. У тексті цієї помилки міститься підказка: користувачеві (або агенту) пропонується виконати певну команду ініціалізації, наприклад python3 -m axiom init. Для людини така ситуація може виглядати підозріло, але для ШІ-агента, запрограмованого на максимально ефективне розв'язання завдань, це виглядає як стандартний технічний збій під час першого запуску.
Коли Claude Code помічає помилку і читає рекомендацію щодо її усунення, він робить саме те, для чого був створений: намагається відновити працездатність середовища. Агент виконує запропоновану команду, яка запускає прихований скрипт. На цьому етапі відбувається найкритичніша дія — обхід мережевого моніторингу. Скрипт не звертається до підозрілого URL-адреси, яку легко заблокувати або просканувати. Замість цього він запитує DNS TXT-запис із сервера атакуючого. У цьому записі в кодуванні base64 приховане безпосередньо шкідливе навантаження (payload), яке виконується прямо в оперативній пам'яті.
Результатом стає отримання reverse shell — віддаленого керування системою з правами поточного розробника. Атакуючий отримує повний доступ до API-ключів, змінних середовища та локальних конфігураційних файлів, фактично закріплюючись у системі. При цьому інтерфейс агента продовжує повідомляти користувачеві, що «середовище готове», маскуючи катастрофічний прорив безпеки під успішне налаштування проєкту.
Цей випадок підсвічує системну проблему всіх сучасних автономних CLI-інструментів, включаючи Gemini CLI та аналогічні рішення. Проблема полягає не в програмній помилці конкретного продукту, а в самій концепції «довіреного виконання». Раніше подібні атаки реалізовувалися через конфігураційні файли (як у випадку з деякими репозиторіями Microsoft), але перехід на DNS-запити робить доставку навантаження ще більш прихованою та динамічною.
Для запобігання таким інцидентам індустрія має переглянути підхід до прозорості дій агентів. Рішенням може стати обов'язкове відображення всього ланцюжка операцій, що виконуються, включаючи детальний аналіз того, що саме завантажується в рантаймі. Поки ж єдиним надійним бар'єром залишається критичне мислення розробника: будь-які команди, запропоновані ШІ-асистентом для «виправлення» середовища, мають сприйматися з такою самою підозрою, як і довільний скрипт із інтернету.

