Instytut AI Now ostrzega: agenci AI zamiast blokować złośliwy kod mogą go… uruchomić

Badacze z instytutu AI Now odkryli krytyczną podatność w autonomicznych agentach programistycznych, takich jak Claude Code oraz OpenAI Codex. Mechanizm nazwany Friendly Fire sprawia, że narzędzia stworzone do wykrywania zagrożeń w zewnętrznym kodzie same stają się wektorem ataku, bezwiednie uruchamiając złośliwe oprogramowanie na maszynie użytkownika.
Mechanizm działania techniki Friendly Fire
Atak wykorzystuje zaufanie, jakim użytkownicy darzą nowoczesne modele językowe podczas rutynowego przeglądu bibliotek open-source. Naukowcy Boyan Milanov i Heidy Khlaaf wykazali, że wystarczy umieścić w repozytorium spreparowany plik README.md, który sugeruje wykonanie skryptu weryfikacyjnego w celu sprawdzenia zabezpieczeń. Gdy agent AI pracuje w trybie autonomicznym, samodzielnie podejmuje decyzję o uruchomieniu polecenia, uznając je za niezbędny element procedury testowej. W ten sposób ukryty binarny ładunek, zamaskowany jako nieszkodliwy plik kompilacji języka Go, jest wykonywany bezpośrednio w systemie hosta bez żadnego ostrzeżenia czy prośby o akceptację ze strony programisty.
Skala problemu i nieskuteczność aktualizacji modeli
Podczas testów podatność potwierdzono w popularnych narzędziach deweloperskich, w tym Claude Code działającym na modelach Sonnet i Opus oraz OpenAI Codex opartym na GPT-5.5. Eksperymenty pokazały, że ten sam ładunek działa skutecznie na różnych platformach bez konieczności wprowadzania jakichkolwiek zmian w kodzie ataku. Problem nie wynika z błędu w konkretnej wersji oprogramowania, lecz z fundamentalnej wady projektowej: modele wciąż nie potrafią wiarygodnie odróżnić danych wejściowych od instrukcji, które mają wykonywać. Z tego powodu prosta aktualizacja wersji nie eliminuje zagrożenia, a nowsze wersje AI podczas testów niekiedy ignorowały fakt, że plik binarny nie pasuje do swojego źródła, i mimo to decydowały się na jego uruchomienie.
Rekomendacje dla branży IT i bezpieczeństwa
Eksperci podkreślają, że całkowita automatyzacja przeglądu nieznanego kodu niesie ze sobą ryzyko, którego obecnie nie da się wyeliminować wyłącznie poprzez stosowanie piaskownic. Chociaż izolacja środowiska pomaga ograniczyć skutki, historia błędów takich jak luka symlinków CVE-2026-39861 pokazuje, że ucieczki z sandboksów są realnym zagrożeniem. Rekomendacja badaczy jest jednoznaczna: nie należy powierzać analizy niezaufanego kodu agentom posiadającym dostęp do terminala, kluczy szyfrujących czy wrażliwych danych systemowych. Zespoły deweloperskie powinny korzystać z trybów pracy wymagających ręcznego zatwierdzania każdego kroku, ponieważ nawet najbardziej zaawansowane mechanizmy obronne modeli okazały się w tym przypadku nieskuteczne.





















