У Claude Code есть потенциальный риск отравления: вредоносные конфигурационные файлы или возможность бесшумного выполнения кода

robot
Генерация тезисов в процессе
Сообщение Deep Tide TechFlow: 18 июля основатель SlowMist Юй Сюань (余弦) переслал твит с предупреждением о потенциальной атаке с отравлением (потенциальной supply-chain/poisoning) в Claude Code. В сообщении говорится, что злоумышленники могут с помощью вредоносных конфигурационных файлов проектов выполнять произвольные команды без ведома пользователя, чтобы похищать API-ключи, облачные учетные данные или получать контроль над локальными устройствами. Исследователи смоделировали тестовую среду и обнаружили: в macOS, если Claude Code окажется скомпрометирован, то после выполнения определённой тестовой команды можно вызвать запуск локального Калькулятора, что подтверждает наличие потенциального риска выполнения команд. Если атака окажется успешной, злоумышленники могут далее похитить API Key для AI-сервисов вроде Claude и OpenAI, что приведёт к потерям средств из‑за аккаунтных расходов, получить доступ к серверам и данным с помощью облачных учетных данных AWS, Alibaba Cloud, Tencent Cloud и других, а также внедрить бэкдор в кодовые репозитории и использовать локальные устройства как трамплин для атак на внутренние сети компаний.
Посмотреть Оригинал
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
  • Награда
  • комментарий
  • Репост
  • Поделиться
комментарий
Добавить комментарий
Добавить комментарий
Нет комментариев
  • Закреплено