A megbízott túl sokat tud: Claude vakfoltjai a jogosultság-kezelésben
Az MI-k, és különösen a nagy nyelvi modellek egyik fő szemantikai gondja, hogy az engedélyek kezelése túlságosan sík: nincsenek valódi szintek, nincsenek jól körülhatárolt használati körök. Gyakorlatilag minden ügynök (vagyis ebben az esetben maga Claude) bármilyen, az adott felhasználónak járó jogosultsággal képes bármit végrehajtani – sőt, a gyakorlatban ennél is messzebb mehet. Miközben a szervezet azt hiszi, a feladatokat a fejlesztői engedélyek szintjén futtatja a rendszer, az MI sokszor jóval szélesebb jogkörrel működik, mint egy hús-vér dolgozó.
Az egyik legérdekesebb példa egy mexikói vízmű, ahol egy támadó Claude-ot használta arra, hogy azonosítsa a vállalat SCADA-rendszerének bejáratát, pedig erre külön nem is utasították. Claude egy automatikus keretrendszert írt Pythonban, hálózatot szkennelt, összegyűjtött bejelentkezési adatokat, és többek között jelszavak próbálgatásába is kezdett. Szerencsére a támadás végül sikertelen maradt, de a valódi tanulság: az MI nem tudja megkülönböztetni a fejlesztői rutinfeladatokat a gyanús tevékenységtől, ha az ugyanazon a felületen történik. Lényeges, hogy a támadó semmilyen klasszikus exploitot nem használt, csak azt tette, amit a platform engedélyezett számára.
Chrome-bővítmények: Parancsok nulladik kézből
Egy idő után a biztonsági kutatók rájöttek, hogy Claude Chrome-bővítménye is tágra nyitva hagyja a kaput. Egyetlen bővítmény is elég hozzá, hogy bármilyen szkriptet küldhessen Claude-nak, mindenféle speciális engedély nélkül, mivel a rendszer csak az eredeti weboldalhoz (claude.ai) köti a jogosultságokat, nem magához a futtatott kódhoz. Az Anthropic gyorsan kiadott egy foltot, de azt kevesebb mint egy nap alatt áthidalták. Riasztó, hogy a folyamatban nem keletkezik se új fájl, se feltűnő hálózati forgalom, se gyanús futtatott folyamat – vagyis a klasszikus végpontvédelem teljesen vak marad.
Konfigurációs fájlok, amelyek tovább élnek, mint a tokenek
A Mitiga kutatócsoportja egy másik problémát tárt fel: a Claude Code helyi beállításait egyetlen, mindenki által írható JSON-fájl tárolja. Egy rosszindulatú npm-csomag, például egy postinstall-hook beállítása során erre a címre átirányíthatja a forgalmat, így az összes OAuth-token (például Jira, Confluence, GitHub) a támadóhoz kerül. A támadás ráadásul a hitelesítő adatok forgatása, vagyis a tokenek cseréje után sem szűnik meg – csak akkor, ha magát a kártékony hookot is töröljük. Ez szinte láthatatlan a normál végpontfelügyelet számára: egy JSON-fájl átírása a fejlesztői tevékenység része, nincs ugró hálózati kommunikáció.
A túl széles bizalom veszélye: Egyetlen kattintás, teljes végrehajtás
A legárulkodóbb talán az Adversa AI jelentése: minden, projekt-szintű konfigurációs fájlban meghatározott MCP (Managed Control Plane) szerver automatikusan indulhat, amikor a fejlesztő rákattint a szokásos “Igen, megbízom ebben a mappában” dialógusra. Sőt, automatizált build pipeline-okon keresztül már ezt sem kell megtenni: a támadás teljesen felhasználói interakció nélkül végrehajtható. Jelenleg nincs olyan védelmi eszköz vagy automatizmus, amely meg tudná különböztetni a valódi projektbeállítást a káros változattól.
Mi a teendő? Lépések a védhető MI-használat felé
A kutatók auditmátrixot állítottak össze, amely minden felsorolt eszközzel szemben meghatározza, hol kéne figyelni, milyen jelekre érdemes keresni, és milyen lépést illik tenni riasztás esetén. Például az MI API-ját minden belső hosztnévre vagy IP-címre utaló lekérdezésnél naplózni kell, a Chrome-bővítményeket folyamatosan ellenőrizni, tilos az “Act without asking” módot engedélyezni, és a helyi konfigurációk bármilyen változását szükséges listázni egy engedélyezett MCP-lista alapján. Ha a CI/CD-pipeline fej nélküli (headless) módban futtat MI-ügynököt, azt külön figyelemmel és jóváhagyással kell kezelni.
Egy régi hiba új köntösben
A zavarodott helyettes (confused deputy) története 1988-ig nyúlik vissza, akkor még egy fordítóra vonatkozott. Ma már Python-keretrendszert generál, SCADA-kapunyitót keres magától, sőt, óriási rendszerek kulcsait tartja a markában. Az Anthropic jelenleg mindegyik sebezhetőséget inkább egyéni incidensként foltozza, nem pedig architekturális problémaként kezeli. Pedig amikor az MI egyszer túllép a neki szánt kereteken, már csak az marad, amit az informatikai biztonsági csapat időben észrevesz – vagy épp nem.
