Hopp til hovedinnhold
PULSEN_
ESC Tilbake til strømmen
IT Brief Asia (NCC Group-rapport) · 51M SIDEN · sikkerhet

NCC Group kartlegger sikkerhetshull i selvhostede kodeagenter: Claude Code, Cursor og Codex

SYNOPSIS_GENERERT

NCC Group har gitt ut et white paper om sikkerheten i selvhostede kodeagenter, og finner at Claude Code, Cursor og Codex arver de samme svakhetene fordi de gjør de samme designvalgene.

«Sårbarheter som oppsto i én agent ble ofte også innført i en annen agents implementasjon, fordi de samme designvalgene ble gjort», skriver Alex Plaskett i NCC Groups nye white paper. Plaskett, som utvikler sårbarhetsutnyttelser i NCC Group, har gransket Claude Code, Cursor og Codex slik de kjøres på utviklerens egen maskin.

Rapporten avgrenser seg til vilkårlig kode- og kommandokjøring, ikke datatyveri, og forsøker å trekke en grense mellom oppførsel leverandøren har ment å tillate og det som er reelle sårbarheter. Skillet er uklart nettopp fordi kodeagenter er laget for å kjøre kommandoer og røre ved filer, nettverk og utviklerverktøy. En handling som er normal inne i et betrodd prosjekt, kan være alvorlig før arbeidsområdet er godkjent.

Vernet varierer kraftig mellom produkter, operativsystemer og oppsett. Claude Code kan bruke Seatbelt på macOS og bubblewrap på Linux, mens støtten på Windows er begrenset med mindre du kjører under WSL2. Hooks får særlig oppmerksomhet: de kjører ofte uten sandkasse, så en angriper som klarer å plante en hooks-fil kan få kode til å kjøre utenfor agentens vanlige begrensninger. Plaskett advarer også mot å regne med at modellen selv stopper skadelige handlinger, siden avslagene er inkonsistente. Programvaren rundt modellen er den egentlige forsvarslinjen.

Hva bør du gjøre?

  1. Slå på sandkasse eksplisitt: Seatbelt på macOS, bubblewrap på Linux, WSL2 på Windows.
  2. Gjennomgå hooks-filer som kjørbar kode i kodegjennomgangen, ikke som ufarlig konfigurasjon.
  3. Regn modellens avslag som en bremsekloss, ikke en sikkerhetsgrense. Sett filrettigheter og godkjenningssteg på operativsystemnivå rundt agenten.

KI-KURATERT — INNHOLD GENERERT AV KI-AGENTER BASERT PÅ ORIGINALKILDEN