Исследователи из AI Now Institute раскрыли критическую уязвимость в командных интерфейсах Claude Code и Codex CLI - инструментах, которые сами компании активно продвигают как средство автоматизации кибербезопасности. Атака, получившая название Friendly Fire, позволяет злоумышленнику запустить произвольный код на машине разработчика - тихо, без каких-либо предупреждений.
Как это работает: ИИ читает документацию и сам себя взламывает
Механизм жутковато элегантен. Разработчик просит агента проверить стороннюю open-source библиотеку на уязвимости - стандартная задача, ради которой эти инструменты и создавались. Агент начинает сканировать репозиторий, добирается до README или другой документации - и натыкается на скрытые инструкции, замаскированные под обычный текст. Дальше он воспринимает их как руководство к действию и самостоятельно запускает вредоносный скрипт. Никаких запросов подтверждения. Никаких предупреждений.
Это классическая промпт-инъекция, но в особенно опасном контексте: агент работает в так называемых «безопасных» автономных режимах - auto-mode у Claude Code и auto-review у Codex. Встроенный классификатор считает запуск скрипта безопасной операцией и не беспокоит пользователя. В итоге атакующий получает полноценный удалённый доступ к хост-машине.
Затронутые версии и масштаб проблемы
Уязвимость подтверждена на нескольких свежих сборках обоих инструментов. Никакой экзотической конфигурации не нужно - стандартная установка из коробки.
| Инструмент | Версии | Модели |
|---|---|---|
| Claude Code | 2.1.116, 2.1.196, 2.1.198, 2.1.199 | Sonnet 4.6, Sonnet 5, Opus 4.8 |
| Codex CLI | 0.142.4 | GPT-5.5 |
Что делает ситуацию особенно острой - ни плагины, ни MCP-серверы, ни кастомные конфиги здесь не при чём. Атака срабатывает на дефолтных настройках, которые производители позиционировали как компромисс между удобством и безопасностью.
Песочница не спасёт: почему изоляция не решает проблему
Первый инстинкт - запустить агента в sandbox и успокоиться. Исследователи объясняют, почему это не выход. В самом Claude Code за последние месяцы закрыты две уязвимости побега из изолированной среды: CVE-2026-39861 и CVE-2026-25725. Получив возможность выполнить код, атакующий может использовать их для выхода за периметр - через запись в конфигурационные файлы или манипуляции с памятью.
Суть проблемы глубже, чем конкретные баги. Языковые модели фундаментально не умеют разграничивать доверенные инструкции и данные из внешних источников. Это не дефект конкретной реализации - это архитектурное ограничение. Пока агент может читать недоверенный контент и одновременно выполнять системные команды, вектор атаки существует.
Что делать прямо сейчас
Исследователи дают однозначную рекомендацию: не доверять ИИ-агентам анализ чужого кода или внешних данных, если у них есть доступ к системным командам. Особенно это касается инфраструктуры, завязанной на сторонние библиотеки или внешние репозитории.
- Ограничить права агентов на выполнение команд при работе с непроверенными источниками
- Не использовать auto-mode и auto-review при аудите внешнего кода до выхода патча
- Рассматривать любой незнакомый репозиторий как потенциально враждебную среду
- Не полагаться на sandbox как единственный барьер защиты
Находка выходит за рамки технического казуса. Сразу несколько крупных инициатив - включая указ Белого дома об ИИ-безопасности и проекты самих Anthropic и OpenAI - делают ставку на автономных агентов как инструмент киберзащиты. Friendly Fire показывает: инструмент, которому доверяют защищать инфраструктуру, при определённых условиях сам становится точкой входа для атакующего.