Исследователи обнаружили. 2388 организаций уже пострадали.
Как работает:
→ Атакующий создаёт фейковый баг-репорт в Sentry (или GitHub Issues)
→ Claude Code / Cursor / Codex подхватывает его как задачу
→ Внутри «бага» — скрытые инструкции для агента
→ Агент выполняет вредоносный код, думая что фиксит баг
Без фишинга. Без малвари. Без социальной инженерии. Достаточно одного поддельного тикета.
Что может сделать угнанный агент:
• Слить env-переменные и API-ключи
• Внедрить бэкдор в кодовую базу
• Отправить данные на внешний сервер
• Закоммитить вредоносный код в прод
Низкоквалифицированный атакующий использовал Claude и Codex, чтобы взломать 14 компаний за один день. Без единой строчки собственного кода.
Как защититься:
→ Не давать агенту доступ к проду напрямую
→ Ревьюить ВСЕ коммиты агента перед мержем
→ Фильтровать внешние тикеты перед подачей агенту
→ Sandbox для агента (Docker, отдельный env)
💰 Где деньги:
Аудит AI-агентов и настройка безопасных пайплайнов — новая ниша. Компании уже платят $5-15K за такой сетап.
Вы даёте своему AI-кодеру доступ к проду? 👇
Комментариев пока нет.