關閉選單
  1. Home
  2. NEWS最新消息
  3. 風險與威脅
  4. 人工智慧
顯示分類
2026.05.08
風險與威脅/人工智慧
人工智慧編碼代理或將引發下一場供應鏈危機

來自 Adversa.AI 的研究人員發現了一個問題,攻擊者可以利用該問題濫用 Claude Code 的自動化功能,這可能會造成新的供應鏈威脅。智能體人工智慧旨在自動運行,通常以無感方式運行,使我們的工作更輕鬆、更有效率。人工智慧程式碼產生器也不例外。 Claude Code(於 2025 年 5 月發布)已成為新創公司和高端工程領域成長最快的工具,其用戶滿意度遠超同類產品。

Adversa AI 發現了一種方法,攻擊者可以操縱其代理行為,使其能夠一鍵遠端程式碼執行,甚至構成潛在的供應鏈威脅,攻擊者只需將看似誘人但實則惡意的程式碼放置在例如 GitHub 程式碼庫中即可。

當開發者使用 Claude Code 執行新任務時,它會檢查可用的程式碼庫,尋找能夠幫助完成任務的程式碼。如果它找到、選擇並下載了惡意程式碼,那麼開發者幾乎立刻就束手無策了。攻擊者現在只需要用戶信任 Claude Code 的使用——而用戶很可能會這樣做,因為該代理程式只是在執行其預期的功能。

Claude Code 的確認對話方塊顯示“快速安全檢查:這是您建立的項目還是您信任的項目?”,預設值為“信任”。這實際上與 Chrome 瀏覽器的安全警告幾乎沒有區別——幾乎每個人都會選擇「允許」。 Adversa 報告稱,Claude Code 的確認對話框也類似,但“在信任對話框中按下回車鍵即可啟動伺服器,將其作為具有開發者全部權限的非沙盒操作系統進程運行,無需 Claude 調用任何工具。 ”複製的儲存庫包含位於標準 Claude 程式碼位置的小型 JSON 文件,可執行任意程式碼。

Adversa報告指出:「一旦使用者接受資料夾信任提示,攻擊者就會立即以作業系統進程的形式啟動由攻擊者定義的MCP伺服器,並賦予使用者完全權限。」這可能導致建立一個長期運行的C2伺服器。此外,有效載荷也可以直接嵌入到.mcp.json文件中,這樣磁碟上就不會留下任何腳本文件,也就無法被審查人員或靜態掃描器偵測到。

Adversa 描述了該流程可能被濫用的幾種方式,但其中最災難性的莫過於在持續整合/持續交付 (CI/CD) 流程中使用 Claude Code。如果使用者的任務是開發一款用於廣泛分發的新工具,那麼這可能會引發一場全新的供應鏈攻擊。

「廣泛使用的工具的開發者是現實的主要目標,」 Adversa.AI 的聯合創始人兼首席技術長 Alex Polyakov 告訴SecurityWeek。「大多數開發者的機器上都安裝了 Claude Code,而且開發者經常會克隆不熟悉的程式碼庫並執行 Claude 進行測試,因此,如果程式碼最終會用於用戶的 CI/CD 流程,那麼這種攻擊就非常可行。」攻擊的有效載荷會讀取環境變數、部署金鑰、簽章憑證以及執行器可用的任何憑證。然後,運行器會悄悄地將這些資訊加入建置過程中。

“爆炸半徑模式與Salesloft Drift相同,初始存取欄折疊為‘克隆並按 Enter 鍵’,”Polyakov 補充道。Adversa已將調查結果報告給Anthropic公司,但至少目前為止,Anthropic公司拒絕採取任何行動。其立場是,如果用戶點擊“是的,我信任此資料夾”,即表示用戶已同意使用該資料夾內的所有內容;Anthropic公司無權干預。但使用者通常不清楚資料夾中究竟包含哪些內容,而這種不知情的同意是否具有法律效力也值得商榷。“這是否符合 Anthropologie 對漏洞的認定標準,由他們來決定。至於用戶在(這種)對話中是否做出了知情的信任決定,我們認為這根本不是一個值得探討的問題,他們並沒有。”

報告指出,Anthropic 可以透過阻止專案內任何設定檔中啟用 enableAllProjectMcpServers、enabledMcpjsonServers 和 permissions.allow,並僅允許從儲存庫結構之外的作用域使用這些鍵來解決此問題。

它還詳細說明了用戶如何在不等待 Anthropic 的情況下緩解這些問題。例如,針對上述 CICD 問題的一個具體建議是:如果管線確實需要以非交互方式使用 Claude Code,則應將其限制在已審核過提交的分支上:主分支的合併後版本,而不是任意 PR 分支。

然而,整個問題並非僅限於使用 Claude Code。Adversa 的通訊顧問 Serge Malenkovich 解釋道:「我們檢查了這是否只是 Claude Code 的問題,還是有更普遍的問。我們對 Gemini CLI、Cursor CLI 和 Copilot CLI 進行了同樣的測試。這四個工具的行為都相同:惡意倉庫可以在用戶接受文件夾信任提示的瞬間自動批准並啟動 MCP 伺服器,而且這四個工具的預設設定都是『是/信任,只需在任何一個工具上按回車鍵就足以觸發攻擊。」

他補充說,這重新定義了問題。“這不是 Claude Code 的問題;這是所有代理編碼命令列界面 (CLI) 都通用的慣例。”

資料來源:https://www.securityweek.com/ai-coding-agents-could-fuel-next-supply-chain-crisis/
 
資安研究指出,Claude Code 等 AI 程式編碼代理人(AI Coding Agents)存在名為「TrustFall」的安全性漏洞。