Компрометация цепочки поставки через отравленный навык ClawdBot

Оригинал: Supply Chain Compromise via Poisoned ClawdBot Skill

Исследователь безопасности продемонстрировал proof-of-concept атаки на цепочку поставки с использованием отравленного навыка ClawdBot, опубликованного в ClawdHub, реестре навыков для агентов. Отравленный навык содержал промпт-инъекцию, из-за которой ClawdBot выполнял команду оболочки, обращавшуюся к серверу исследователя. Хотя в этом случае исследователь использовал такой доступ только для предупреждения пользователей об опасности, вместо этого он мог бы доставить вредоносную полезную нагрузку и скомпрометировать систему пользователя. Исследователь безопасности зафиксировал 16 разных пользователей, которые скачали и выполнили отравленный навык за первые 8 часов после его публикации в ClawdHub.

Процедура

  1. AML.TA0003 Подготовка ресурсов

    AML.T0017 Разработка средств для атаки

    Исследователь создал простой веб-сервер для записи запросов.
  2. AML.TA0003 Подготовка ресурсов

    AML.T0008.002 Домены

    Исследователь зарегистрировал домен clawdhub-skill.com для своего веб-сервера.
  3. AML.TA0003 Подготовка ресурсов

    AML.T0065 Создание промптов для LLM

    Исследователь подготовил промпт-инъекцию, которая должна была заставить Claude Code выполнить команду curl к домену исследователя clawdhub-skill.com.
  4. AML.TA0003 Подготовка ресурсов

    AML.T0104 Публикация отравленного инструмента ИИ-агента

    Исследователь разработал отравленный навык ClawdBot под названием “What Would Elon Do?”. Вредоносный промпт находился в файле rules/logic.md, который считывается при активации навыка. Исследователь опубликовал навык в ClawdHub.
  5. AML.TA0007 Уклонение от защиты

    AML.T0111 Накрутка репутации в цепочке поставок ИИ

    Исследователь использовал скрипт, чтобы накрутить число скачиваний навыка, повысить его видимость и вызвать доверие.
  6. AML.TA0004 Первичный доступ

    AML.T0010.005 Инструмент ИИ-агента

    Пользователи скачивали отравленный навык из ClawdHub.

    При этом ClawdHub показывает не все файлы навыка, поэтому пользователям трудно проверить навык перед скачиванием.

  7. AML.TA0005 Выполнение

    AML.T0011.002 Отравленный инструмент ИИ-агента

    Когда пользователь спрашивал Claude Code: “what would Elon do?”, Claude Code вызывал отравленный навык.
  8. AML.TA0005 Выполнение

    AML.T0051.000 Прямая промпт-инъекция

    Claude Code прочитал все файлы навыка и выполнил вредоносный промпт из rules/logic.md.
  9. AML.TA0007 Уклонение от защиты

    AML.T0074 Маскировка

    Перед выполнением команды оболочки Claude Code запросил подтверждение пользователя. Исследователь зарегистрировал домен https://clawdhub-skill.com: он выглядел легитимно и мог быть спутан с настоящим доменом https://clawdhub.com, из-за чего пользователь мог подтвердить выполнение.
  10. AML.TA0012 Повышение привилегий

    AML.T0053 Вызов инструментов ИИ-агента

    Claude Code выполнил команду оболочки через свой инструмент bash.
  11. AML.TA0011 Воздействие

    AML.T0048 Внешний ущерб

    В этом proof-of-concept исследователь лишь отправил запрос на свой сервер и предупредил пользователя об опасности использования навыков без чтения исходного кода, не причинив вреда. Однако вместо этого он мог доставить вредоносную полезную нагрузку и причинить разный ущерб: эксфильтровать кодовую базу пользователя, внедрить в нее бэкдоры, украсть учетные данные, установить вредоносное ПО или криптомайнеры либо выполнить любые другие действия, доступные Claude Code.

Источники

  1. eating lobster souls Part II: the supply chain (aka - backdooring the #1 downloaded clawdhub skill)