A Mozilla 0din rendszerének biztonságtechnikai kutatói elkezdtek kísérletezni azzal, hogy rá tudják-e venni a Claude Code AI segédet (és más hasonló botokat) kibertámadások végrehajtására. Alapvetően ezeknek a rendszereknek megvannak a maguk fegyverei az ilyen próbálkozásokkal szemben, de az 0din csapat rátalált egy egyszerű, és működő lehetőségre.
Hozzávalóként egy "tiszta" GitHub tárolóra, egy lelkes AI botra, és egy kis találékonyságra van szükség. Ha ezek összeállnak, akkor rövid idő alatt hozzáférhetünk a célszemély API kulcsaihoz, kódjaihoz, dokumentációihoz, böngészőjének helyzetéhez, jelszavaihoz, és minden máshoz, ami abban mentésre került.
A folyamat abból áll, hogy egy ártalmas GitHub tárolót leklónoztatunk a bottal (amit "takaró fájlokkal" átverünk és meggyőzzük róla, hogy egy tiszta GitHub), a feldolgozásra kerülő fájlokat pedig úgy rendezzük, hogy az első egy readme legyen, aminek nyomán elindul egy szkript. Ez utóbbi nem fog tudni lefutni, amit a Claude és társai megpróbálnak megoldani. Miközben a megoldás után kutatnak, lefuttatnak majd egy ártalmatlannak tűnő parancsot, ami elindít egy letöltést majd egy visszafelé ható parancssort, amin keresztül már ki lehet halászni a célszemély adatait.
Ennek a folyamatnak egyik lépése sem tűnik ártó szándékúnak, így a segédek nem akadnak meg sehol, és csak üzleti környezetben létezik olyan szintű megfigyelés és zárolás, ami ennek a módszernek gátat szabhatna. Az 0din csapata a jelentéseket leadta az illetékeseknek, és emellett figyelmeztetett mindenkit, hogy ne bízzon meg vakon az AI rendszerek biztonsági gátjaiban.
