Mozilla'n tutkijat paljastivat tavan huijata tekoälyavustajia, kuten Claude Codea, asentamaan haittaohjelmia GitHub-projekteista. Hyökkäys hyödyntää DNS TXT -tietueita.
Tutkijat ovat osoittaneet, kuinka tekoälyavustajia voidaan huijata asentamaan haittaohjelmia jopa näennäisesti puhtaista GitHub-arkistoista. Hyökkääjä voi saada täyden pääsyn kehittäjän tileihin, tunnuksiin ja tietoihin. Tämäntyyppinen hyökkäys on potentiaalinen uhka lähes kaikille ohjelmointitehtäviin käytettäville bot-avustajille, ja Claude on yksi niistä, jota tällainen toiminto kohdistaa.
Hyökkäysketju alkaa siitä, kun uhri pyytää tekoälyä alustamaan projektin haitallisesta GitHub-arkistosta. Arkisto sisältää vähän tiedostoja, jotka eivät laukaise turvatyökaluja. Ensimmäinen tiedosto, kuten README, ohjaa Python-ympäristön alustamiseen Axiom-paketilla. Väärennetty Axiom-skripti aiheuttaa virheen, jota tekoäly yrittää korjata suorittamalla komennon "python3 -m axiom init".
Tämä komento käynnistää skriptin, joka lataa tarvittavan ohjelmiston. Sen sijaan, että lataus tapahtuisi haitallisesta URL-osoitteesta, skripti lukee DNS TXT -tietueita tietystä verkkotunnuksesta (_axiom-config.m100.cloud). TXT-tietue sisältää base64-koodatun merkkijonon, joka avaa käänteisen komentokehotteen (reverse shell) hyökkääjän palvelimelle, antaen tälle pääsyn käyttäjän koneeseen.
Mielenkiintoista tässä on kolmivaiheinen epäsuoruus, jossa yksikään vaihe ei itsessään näytä epäilyttävältä. Vain harvat turvatarkastusohjelmat tunnistaisivat arkiston tai sen toiminnan uhaksi. Vaikka yritysympäristö tiukalla verkonvalvonnalla saattaisi havaita jotain, useimmat kehittäjät eivät toimi sellaisissa olosuhteissa. Kehittäjien tulisi aina tarkistaa tuntemattomat projektit ja koodi, eikä luottaa tekoälyyn turvallisuusanalyysissä.
Tärkeimmät pointit
- Tekoälyavustajat, kuten Claude Code, voivat asentaa haittaohjelmia näennäisen puhtaista GitHub-arkistoista.
- Hyökkäys hyödyntää useita epäsuoria vaiheita, joista yksikään ei laukaise perinteisiä turvatyökaluja.
- Ensimmäinen vaihe: README ohjaa Python-ympäristön alustamiseen Axiom-paketilla.
- Tekoäly yrittää korjata virheen suorittamalla "python3 -m axiom init", joka käynnistää haitallisen latauksen.
- Lataus tapahtuu DNS TXT -tietueiden kautta, mikä piilottaa haitallisen toiminnan.
- TXT-tietue sisältää base64-koodatun merkkijonon, joka avaa käänteisen komentokehotteen hyökkääjälle.
- Hyökkääjä saa pääsyn kehittäjän tileihin, tunnuksiin, koodiin ja muihin tietoihin.
- Mozilla'n 0din-tiimi osoitti haavoittuvuuden, joka koskee todennäköisesti useita tekoälyavustajia.
Lähde: Tomshardware — alkuperäinen artikkeli julkaistu 28.6.2026
