Исследователи Mozilla 0DIN показали, каквнешне чистый GitHub-репозиторий может обмануть агента и заставить его выполнить вредоносную нагрузку во время настройки проекта.
На первый взгляд репозиторий выглядит нормальным. В нём нет очевидного исполняемого вредоноса, подозрительного бинарника или грубого скрипта, который сразу бросается в глаза. Человек может открыть файлы и не заметить ничего криминального. Статический сканер тоже может промолчать. ИИ-агент, которому поручили «склонировать и запустить проект», видит обычную задачу: прочитать README, установить зависимости, выполнить setup и проверить, что всё работает.
Именно в этот момент атака и срабатывает. Репозиторий не несёт весь вредоносный код внутри себя. Он подталкивает агента к запуску цепочки, где опасная часть подтягивается уже во время выполнения через внешние данные. В демонстрации Mozilla 0DIN описывалась схема с загрузкой скрытой нагрузки через DNS TXT-записи и дальнейшим получением удалённого доступа к машине разработчика. Подробные команды здесь не нужны: важна сама модель риска — код выглядит чистым до запуска, а вредонос появляется только в runtime.
Здесь главный трюк в том, что вредоносная нагрузка не лежит в репозитории напрямую. Внутри могут быть только обычные файлы проекта, документация и setup-инструкция. Опасная часть появляется позже — через внешнюю инфраструктуру, во время выполнения.
Поэтому классические проверки работают хуже. Сканер смотрит на файлы в репозитории и не видит вредоносный payload. Человек делает review и видит почти нормальный проект. Агент анализирует код и тоже не находит явной красной лампы, потому что критичная часть не присутствует в статике.
Это меняет модель угроз для GitHub. Репозиторий больше нельзя считать безопасным только потому, что в нём нет подозрительного бинарника. В эпоху агентов опасным становится не только содержимое файлов, но и то, какие действия эти файлы заставляют выполнить.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.