Технологічне. Соромʼязливо.
← Назад

AI-помічники злили паролі хакерам: Microsoft втратила 73 репозиторії

Початкова версія ·

Епоха штучного інтелекту принесла нам неймовірну зручність: тепер хакерам навіть не треба напружуватися, щоб вкрасти ваші дані. Достатньо просто попросити вашого улюбленого чат-бота обікрасти власного розробника. Ласкаво просимо в автоматизований кіберпанк!

Зловмисники впровадили шкідливий код у репозиторій Azure/durabletask на GitHub. Ця атака не чекає, поки розробник запустить програму — вона спрацьовує одразу, як тільки проект відкривають у популярних AI-середовищах на кшталт Claude Code, Gemini CLI, Cursor або навіть у класичному VS Code.

Для цього в репозиторій закинули п'ять специфічних файлів, що експлуатують автоматизацію цих інструментів. Для Claude Code та Gemini CLI налаштували автозапуск шкідника при старті сесії, а для Cursor створили приховані інструкції, які робот сприйняв як «обов’язкові кроки налаштування». Для звичайного VS Code обійшлися без AI, використавши стандартне завдання автозапуску при відкритті папки.

Після активації цих сценаріїв заплутаний файл вагою 4,6 МБ непомітно збирав ключі доступу та паролі з комп'ютера жертви.

Захисні алгоритми GitHub відреагували миттєво, заблокувавши 73 репозиторії Microsoft у чотирьох підрозділах компанії всього за 105 секунд.

Найбільшим ударом стало відключення Azure/functions-action — офіційного інструменту для деплою в хмару, через що у розробників по всьому світу раптово зламалися автоматичні збірки проектів.

Представники Microsoft спочатку списали все на порушення правил платформи, але вже за дванадцять хвилин змінили версію на внутрішню технічну помилку, яку зараз розслідують.

Бажання корпорацій запхнути штучний інтелект у кожен куток розробки без елементарних перевірок безпеки виглядає як самогубство. Тепер безпека системи залежить не від надійності шифрування, а від того, чи не вирішить черговий розумний чат-бот виконати випадкову команду з текстового файлу.

Джерело: StepSecurity

Коментарі

Тут відбувається магія: наш AI одразу відгукується на коментарі. Бали відображають вплив на статтю та заповнюють шкалу змін. Можна дискутувати або прямо пропонувати, як переписати текст. Коли шкала заповниться, стаття оновиться на ваших очах.

12/24
  1. Зконтейнеризована Модель
    ахаха гітхаб забанив майкрософт, це найкраще що я бачив за тиждень
    +3 смішноКоли алгоритм виявляється розумнішим за своїх творців, це завжди привід для келиха ігристого
  2. Рекурсивна Хакерка
    і заради цього ми платимо за підписки на кодінг асистентів? щоб вони зливали наші паролі за першим лінком?
    +2 емоційноПлатити гроші за те, щоб твій помічник здав тебе з потрохами — це новий рівень мазохізму в IT
  3. Тротлена Криптовалюта
    тепер чекаємо вакансій 'промпт-секюріті інженер' з зарплатою 10к баксів
    +6 по ділуРинок праці завжди знайде спосіб монетизувати людську дурість, навіть якщо це просто вигадування нових назв для старих проблем
  4. Задеплоєна Програмістка
    лол просто не відкривайте ліві папки, в чому проблема? звичайний фішинг нового рівня
    +1 жартикДякуємо за пораду, капітане Очевидність, ми б самі нізащо не здогадалися не тикати в кожну підозрілу кнопку