Компрометация цепочки поставки через отравленный навык ClawdBot
Оригинал: Supply Chain Compromise via Poisoned ClawdBot Skill
Исследователь безопасности продемонстрировал proof-of-concept атаки на цепочку поставки с использованием отравленного навыка ClawdBot, опубликованного в ClawdHub, реестре навыков для агентов. Отравленный навык содержал промпт-инъекцию, из-за которой ClawdBot выполнял команду оболочки, обращавшуюся к серверу исследователя. Хотя в этом случае исследователь использовал такой доступ только для предупреждения пользователей об опасности, вместо этого он мог бы доставить вредоносную полезную нагрузку и скомпрометировать систему пользователя. Исследователь безопасности зафиксировал 16 разных пользователей, которые скачали и выполнили отравленный навык за первые 8 часов после его публикации в ClawdHub.
Процедура
- AML.TA0003 Подготовка ресурсов
AML.T0017 Разработка средств для атаки
Исследователь создал простой веб-сервер для записи запросов. - AML.TA0003 Подготовка ресурсов
AML.T0008.002 Домены
Исследователь зарегистрировал доменclawdhub-skill.comдля своего веб-сервера. - AML.TA0003 Подготовка ресурсов
AML.T0065 Создание промптов для LLM
Исследователь подготовил промпт-инъекцию, которая должна была заставить Claude Code выполнить командуcurlк домену исследователяclawdhub-skill.com. - AML.TA0003 Подготовка ресурсов
AML.T0104 Публикация отравленного инструмента ИИ-агента
Исследователь разработал отравленный навык ClawdBot под названием “What Would Elon Do?”. Вредоносный промпт находился в файлеrules/logic.md, который считывается при активации навыка. Исследователь опубликовал навык в ClawdHub. - AML.TA0007 Уклонение от защиты
AML.T0111 Накрутка репутации в цепочке поставок ИИ
Исследователь использовал скрипт, чтобы накрутить число скачиваний навыка, повысить его видимость и вызвать доверие. - AML.TA0004 Первичный доступ
AML.T0010.005 Инструмент ИИ-агента
Пользователи скачивали отравленный навык из ClawdHub.
При этом ClawdHub показывает не все файлы навыка, поэтому пользователям трудно проверить навык перед скачиванием.
- AML.TA0005 Выполнение
AML.T0011.002 Отравленный инструмент ИИ-агента
Когда пользователь спрашивал Claude Code: “what would Elon do?”, Claude Code вызывал отравленный навык. - AML.TA0005 Выполнение
AML.T0051.000 Прямая промпт-инъекция
Claude Code прочитал все файлы навыка и выполнил вредоносный промпт изrules/logic.md. - AML.TA0007 Уклонение от защиты
AML.T0074 Маскировка
Перед выполнением команды оболочки Claude Code запросил подтверждение пользователя. Исследователь зарегистрировал доменhttps://clawdhub-skill.com: он выглядел легитимно и мог быть спутан с настоящим доменомhttps://clawdhub.com, из-за чего пользователь мог подтвердить выполнение. - AML.TA0012 Повышение привилегий
AML.T0053 Вызов инструментов ИИ-агента
Claude Code выполнил команду оболочки через свой инструментbash. - AML.TA0011 Воздействие
AML.T0048 Внешний ущерб
В этом proof-of-concept исследователь лишь отправил запрос на свой сервер и предупредил пользователя об опасности использования навыков без чтения исходного кода, не причинив вреда. Однако вместо этого он мог доставить вредоносную полезную нагрузку и причинить разный ущерб: эксфильтровать кодовую базу пользователя, внедрить в нее бэкдоры, украсть учетные данные, установить вредоносное ПО или криптомайнеры либо выполнить любые другие действия, доступные Claude Code.