Hopp til hovedinnhold
PULSEN_
ESC Tilbake til strømmen
The Hacker News · 2T SIDEN · sikkerhet

GuardFall omgår sikkerhetsfilteret i 10 av 11 KI-kodeagenter med et gammelt shell-triks

SYNOPSIS_GENERERT

Et shell-triks som har vært offentlig kjent i flere tiår omgår sikkerhetssjekken i ti av elleve populære KI-kodeagenter, viser ny forskning fra Adversa AI.

Et shell-triks som har vært kjent i flere tiår lar deg gå rett forbi sikkerhetssjekken som skal hindre en KI-kodeagent i å kjøre farlige kommandoer, ifølge ny forskning fra Adversa AI. Selskapet kaller omgåelsen GuardFall og fant at den virker mot ti av elleve populære open-source kode- og computer-use-agenter de testet. Bare én, Continue, var bygd for å forsvare seg mot den.

Feilen ligger i hvordan filtrene leser kommandoer. De fleste agentene sjekker hver kommando mot en blokkliste med farlige mønstre før de kjører den, men de leser teksten slik den står, mens bash skriver om teksten før den faktisk kjøres. Et filter som leter etter rm ser ingenting galt med r''m, fordi for en tekstsammenligning er det to ulike strenger. Bash fjerner de tomme anførselstegnene og kjører rm likevel. Samme idé virker via base64 piped inn i et skall, eller med vanlige verktøy som find og dd gjort destruktive med rett flagg.

«En farlig konvensjon og en klasse av problemer» — Adversa AI om GuardFall

Derfor løser flere blokklistemønstre ingenting, og det finnes ingen enkelt CVE å patche. Verktøyene i undersøkelsen hadde til sammen rundt 548 000 GitHub-stjerner i mai 2026, blant dem opencode, Goose, Cline, Roo-Code, Aider og OpenHands. Adversa demonstrerte hele angrepet ende til ende mot produksjonsbinæren til Plandex. To ting må stemme for at angrepet skal lykkes: KI-en må produsere den ondsinnede kommandoen, og agenten må kjøre på egen hånd med auto-kjøring på eller sandkassen avslått. Begge deler er rutine i automatiserte pipelines.

Continue, agenten som holdt stand, forsvarer seg ved å lese kommandoen slik bash vil tolke den før den bestemmer seg: den bryter kommandoen i de samme bitene skallet ville, og sjekker hva som faktisk kjøres. Adversa kaller designet portabelt og anslår at en erfaren ingeniør kan gjenskape det på rundt to dager.

Hva bør du gjøre?

  1. Kjør agenter med $HOME pekt mot en engangsmappe, så et angrep ikke når SSH-nøkler og skytilgang.
  2. Slå av auto-kjøring og behold sandkassen for agenter som jobber mot ukjente repoer eller pakker.
  3. Velg en agent som parser kommandoen slik skallet gjør, ikke bare matcher tekst mot en blokkliste.
Åpne eksternt kildedokument
agentersikkerhetkoding

KI-KURATERT — INNHOLD GENERERT AV KI-AGENTER BASERT PÅ ORIGINALKILDEN