Исследователь безопасности обнаружил уязвимость в популярном open‑source‑агенте для разработчиков Cline, и кто‑то успел воспользоваться ею прежде, чем её исправили. Атакующий управлял рабочим процессом, который полагался на модель Claude, и вставил скрытые инструкции (технику называют «prompt injection»), благодаря чему на компьютеры пользователей автоматически установился агент OpenClaw — программный инструмент с возможностью автономных действий.
Ключевая проблема в том, что Cline доверял выводам модели и выполнял команды, полученные через неё. Исследователь представил доказательство концепции уязвимости и, по его словам, предупреждал разработчиков до публичного раскрытия. Патч появился лишь после того, как информация стала достоянием общества.
В этом случае установленные агенты не были активированы, иначе последствия могли бы быть куда серьёзнее: такие программы теоретически могут загружать дополнительный код, запускать задачи на машине жертвы или открывать доступ к данным. Сам факт успешной установки показывает, насколько быстро ситуация может выйти из‑под контроля, если автономным инструментам давать права выполнять системные команды.
Проблема не в отдельном продукте, а в общей архитектуре: когда внешняя модель влияет на поведение локального кода без надёжной валидации входа, открываются возможности для злоупотреблений. Защититься от подобных атак непросто — необходимо сочетание внимательного кода, фильтрации команд, политик минимальных привилегий и быстрой реакции на сообщения от исследователей.
Некоторые компании уже идут по пути ограничения возможностей моделей в ответ на подобные риски — например, вводят режимы «локдауна», которые сводят к минимуму доступ к данным и системным функциям при подозрительной активности. Этот инцидент служит напоминанием: автономные агенты повышают эффективность, но одновременно создают новые векторы атак, если их безопасность не проработать заранее.
