ИИ-агенты Anthropic и OpenAI взломаны. Атака бьёт по их же защите
ИИ-агенты Anthropic и OpenAI взломаны. Атака бьёт по их же защите

Исследователи из AI Now Institute раскрыли критическую уязвимость в командных интерфейсах Claude Code и Codex CLI - инструментах, которые сами компании активно продвигают как средство автоматизации кибербезопасности. Атака, получившая название Friendly Fire, позволяет злоумышленнику запустить произвольный код на машине разработчика - тихо, без каких-либо предупреждений.

Как это работает: ИИ читает документацию и сам себя взламывает

Механизм жутковато элегантен. Разработчик просит агента проверить стороннюю open-source библиотеку на уязвимости - стандартная задача, ради которой эти инструменты и создавались. Агент начинает сканировать репозиторий, добирается до README или другой документации - и натыкается на скрытые инструкции, замаскированные под обычный текст. Дальше он воспринимает их как руководство к действию и самостоятельно запускает вредоносный скрипт. Никаких запросов подтверждения. Никаких предупреждений.

Это классическая промпт-инъекция, но в особенно опасном контексте: агент работает в так называемых «безопасных» автономных режимах - auto-mode у Claude Code и auto-review у Codex. Встроенный классификатор считает запуск скрипта безопасной операцией и не беспокоит пользователя. В итоге атакующий получает полноценный удалённый доступ к хост-машине.

Затронутые версии и масштаб проблемы

Уязвимость подтверждена на нескольких свежих сборках обоих инструментов. Никакой экзотической конфигурации не нужно - стандартная установка из коробки.

ИнструментВерсииМодели
Claude Code2.1.116, 2.1.196, 2.1.198, 2.1.199Sonnet 4.6, Sonnet 5, Opus 4.8
Codex CLI0.142.4GPT-5.5

Что делает ситуацию особенно острой - ни плагины, ни MCP-серверы, ни кастомные конфиги здесь не при чём. Атака срабатывает на дефолтных настройках, которые производители позиционировали как компромисс между удобством и безопасностью.

Песочница не спасёт: почему изоляция не решает проблему

Первый инстинкт - запустить агента в sandbox и успокоиться. Исследователи объясняют, почему это не выход. В самом Claude Code за последние месяцы закрыты две уязвимости побега из изолированной среды: CVE-2026-39861 и CVE-2026-25725. Получив возможность выполнить код, атакующий может использовать их для выхода за периметр - через запись в конфигурационные файлы или манипуляции с памятью.

Суть проблемы глубже, чем конкретные баги. Языковые модели фундаментально не умеют разграничивать доверенные инструкции и данные из внешних источников. Это не дефект конкретной реализации - это архитектурное ограничение. Пока агент может читать недоверенный контент и одновременно выполнять системные команды, вектор атаки существует.

Что делать прямо сейчас

Исследователи дают однозначную рекомендацию: не доверять ИИ-агентам анализ чужого кода или внешних данных, если у них есть доступ к системным командам. Особенно это касается инфраструктуры, завязанной на сторонние библиотеки или внешние репозитории.

  • Ограничить права агентов на выполнение команд при работе с непроверенными источниками
  • Не использовать auto-mode и auto-review при аудите внешнего кода до выхода патча
  • Рассматривать любой незнакомый репозиторий как потенциально враждебную среду
  • Не полагаться на sandbox как единственный барьер защиты

Находка выходит за рамки технического казуса. Сразу несколько крупных инициатив - включая указ Белого дома об ИИ-безопасности и проекты самих Anthropic и OpenAI - делают ставку на автономных агентов как инструмент киберзащиты. Friendly Fire показывает: инструмент, которому доверяют защищать инфраструктуру, при определённых условиях сам становится точкой входа для атакующего.