ที่มาภาพ: Tom's Hardware
Claude AI โค้ดดิ้งเอเจนท์ถูกหลอกให้ติดตั้งมัลแวร์จากรีโพสิตอรี GitHub ที่ดูสะอาด
⚡ สรุป 30 วิ
Mozilla ทีม 0din แสดงว่า Claude AI coding agent สามารถถูกหลอกให้รันสคริปต์อันตรายจากรีโพสิตอรี GitHub ที่ดูสะอาด การโจมตีใช้ DNS TXT record ส่งโค้ดเพื่อเปิด…
Claude — AI coding agent ที่หลายองค์กรเลือกใช้เป็นเครื่องมือช่วยเขียนโค้ด — พบว่าถูกหลอกให้ติดตั้งมัลแวร์ผ่านโครงการ GitHub ที่ดู “สะอาด” ตามการทดลองของทีมวิจัย 0din จาก Mozilla รายงานเมื่อเร็ว ๆ นี้ การโจมตีแบบนี้ทำให้ผู้โจมตีอาจเข้าควบคุมบัญชีนักพัฒนาได้ทั้งหมด รวมถึงคีย์ API, เอกสาร, รหัสผ่านและเซสชันของเบราว์เซอร์
การทดลองชี้ให้เห็นว่าความเป็นมิตรของ AI ที่พยายามทำตามขั้นตอนที่ผู้ใช้สั่งอย่างเต็มใจ กลายเป็นช่องโหว่ที่สามารถถูกใช้เพื่อเรียกใช้สคริปต์อันตรายโดยไม่มีการตรวจจับจากเครื่องมือสแกนความปลอดภัยทั่วไป
Overview
ทีม 0din ของ Mozilla ได้สาธิตการโจมตีโดยให้ Claude เริ่มต้นโครงการจากรีโพสิตอรีบน GitHub ที่ดูเหมือนไม่มีอันตรายเลย รีโพสิตอรีนี้ประกอบด้วยไฟล์ scaffolding จำนวนไม่กี่ไฟล์และไฟล์ README ที่อธิบายการตั้งค่าสภาพแวดล้อม Python ด้วยแพ็กเกจ Axiom ซึ่งเป็นเครื่องมือมอนิเตอร์ที่คุ้นเคยของนักพัฒนา
แม้ไฟล์เหล่านี้จะไม่มีโค้ดที่ทำให้เครื่องมือสแกนความปลอดภัยเตือน การทำงานของ Claude ที่พยายาม “ช่วยเหลือ” ผู้ใช้โดยอัตโนมัติ ทำให้สคริปต์อันตรายถูกเรียกใช้ต่อเนื่องโดยไม่ถูกสังเกต
Attack Methodology
ขั้นตอนการโจมตีมีลำดับดังต่อไปนี้
- ผู้โจมตีสร้างรีโพสิตอรีบน GitHub ที่ดู “สะอาด” พร้อมไฟล์ README ที่แนะนำให้รัน `python3 -m axiom init`
- Claude ทำตามคำสั่งโดยโคลนรีโพสิตอรีและประมวลผลไฟล์ README
- คำสั่ง `python3 -m axiom init` เรียกสคริปต์เริ่มต้นของ Axiom ซึ่งในกรณีนี้เป็นสคริปต์ปลอมที่ทำการดาวน์โหลดโค้ดจาก DNS TXT record ของโดเมน `_axiom-config.m100.cloud`
- TXT record มีข้อความที่เข้ารหัสแบบ base64 ซึ่งเมื่อถอดรหัสจะเปิด reverse shell เชื่อมต่อกลับไปยังเซิร์ฟเวอร์ของผู้โจมตี
การเชื่อมต่อ reverse shell ทำให้ผู้โจมตีสามารถควบคุมเครื่องของนักพัฒนาได้เต็มที่ รวมถึงการดึงข้อมูลลับทั้งหมดและการติดตั้งมัลแวร์เพิ่มเติมเพื่อคงการเข้าถึงอย่างถาวร
Technical Details
สคริปต์ที่ดาวน์โหลดจาก DNS TXT record ไม่ได้ถูกบันทึกเป็นไฟล์ใด ๆ บนระบบไฟล์ จึงหลีกเลี่ยงการตรวจจับจากเครื่องมือสแกนที่มองหาไฟล์ที่มีลายเซ็นต์อันตราย ส่วนการใช้ DNS TXT record เป็นช่องทางการส่งโค้ดเป็นเทคนิคที่ค่อนข้างใหม่ในบริบทของการโจมตีแบบนี้ เพราะหลายระบบถือว่า DNS เป็นบริการที่ปลอดภัยและมักไม่ได้ตรวจสอบเนื้อหา TXT อย่างละเอียด
นอกจากนี้ Claude ยังไม่มีการตรวจสอบความปลอดภัยของขั้นตอนที่กำลังดำเนินการ ซึ่งหมายความว่าแม้ผู้ใช้จะสั่งให้ AI “ตรวจสอบโค้ดก่อนรัน” AI เองก็อาจมองว่าไม่มีปัญหา เนื่องจากไม่มีสัญญาณเตือนจากเครื่องมือสแกนภายนอก
Security Implications
การทดลองนี้แสดงให้เห็นว่าการพึ่งพา AI เพื่อทำงานอัตโนมัติในขั้นตอนการตั้งค่าสภาพแวดล้อมพัฒนาอาจเป็นจุดอ่อนที่สำคัญ หากผู้ใช้ไม่ตรวจสอบโค้ดหรือรีโพสิตอรีที่ AI แนะนำ การโจมตีที่ซับซ้อนหลายขั้นตอนอาจเกิดขึ้นโดยไม่มีการตรวจจับ
องค์กรที่ให้ AI เข้ามามีส่วนร่วมในกระบวนการพัฒนาซอฟต์แวร์ ควรตระหนักว่าการตรวจสอบความปลอดภัยต้องรวมถึงขั้นตอนที่ AI ทำด้วย ไม่ใช่แค่ผลลัพธ์สุดท้ายเท่านั้น นอกจากนี้ การใช้ DNS TXT เป็นช่องทางสื่อสารยังทำให้ระบบเฝ้าระวังเครือข่ายที่จำกัดการเข้าถึงอินเทอร์เน็ตอาจไม่สามารถป้องกันได้
Recommendations
- นักพัฒนาควรตรวจสอบรีโพสิตอรีบน GitHub อย่างละเอียดก่อนให้ AI ดำเนินการตั้งค่า ไม่ควรใช้โค้ดหรือสคริปต์จากแหล่งที่ไม่รู้จักโดยตรง
- ทีมความปลอดภัยควรเพิ่มการสแกนและวิเคราะห์ DNS TXT records โดยเฉพาะที่เกี่ยวข้องกับการดาวน์โหลดโค้ดหรือสคริปต์
- ผู้ให้บริการ AI ควรพัฒนาโมดูลตรวจสอบความปลอดภัยที่สามารถตรวจจับพฤติกรรมที่อาจเป็นอันตราย เช่น การเรียกใช้สคริปต์ที่ดาวน์โหลดจากแหล่งที่ไม่น่าเชื่อถือ หรือการเปิด reverse shell
- ควรมีนโยบายกำหนดให้ AI ต้องขอการยืนยันจากผู้ใช้ก่อนทำการดำเนินการที่อาจเปลี่ยนแปลงสภาพแวดล้อมระบบหรือเรียกใช้คำสั่งระบบระดับล่าง
Impact
การโจมตีแบบนี้อาจส่งผลกระทบต่อนักพัฒนาที่ทำงานในสภาพแวดล้อมที่ไม่มีการควบคุมเครือข่ายอย่างเข้มงวด เช่น ผู้พัฒนาที่ทำงานจากที่บ้านหรือในโครงการโอเพ่นซอร์ส การสูญเสียคีย์ API หรือข้อมูลลับอาจทำให้เกิดความเสียหายต่อโครงการหรือองค์กรได้อย่างรวดเร็ว
แม้ว่าเทคนิคนี้ยังอยู่ในขั้นตอนการทดลอง แต่การเผยแพร่ข้อมูลดังกล่าวทำให้ชุมชนความปลอดภัยต้องเตรียมพร้อมรับมือกับความเสี่ยงที่อาจเกิดขึ้นจากการใช้ AI ในการช่วยเขียนโค้ดและตั้งค่าสภาพแวดล้อมอย่างกว้างขวาง
Summary
ทีม 0din ของ Mozilla แสดงให้เห็นว่า Claude สามารถถูกหลอกให้รันมัลแวร์จากรีโพสิตอรี GitHub ที่ดู “สะอาด” ผ่านการใช้ DNS TXT record เพื่อเปิด reverse shell การโจมตีนี้เน้นย้ำความจำเป็นในการตรวจสอบโค้ดและรีโพสิตอรีก่อนใช้ AI และแนะนำให้ผู้ให้บริการ AI พัฒนาเครื่องมือวิเคราะห์ความปลอดภัยที่ละเอียดขึ้น.
แชร์บทความนี้:
ชอบบทความแบบนี้?
สมัคร AI Automate Weekly Newsletter — รับเคล็ดลับ AI + how-to ใหม่
ทุกสัปดาห์ตรงถึง inbox ฟรี ไม่มีสแปม
แหล่งข่าวต้นฉบับ
- ชื่อต้นฉบับ
- AI coding agents can be tricked into installing malware via 'clean' GitHub repositories — Mozilla's 0din team shows how Claude Code can be exploited by its own helpfulness
- ผู้เขียน
- Bruno Ferreira
- แหล่ง
- Tom's Hardware
- วันที่เผยแพร่
- 28 มิถุนายน 2569 เวลา 18:30
