«Sårbarheter som oppsto i én agent ble ofte også innført i en annen agents implementasjon, fordi de samme designvalgene ble gjort», skriver Alex Plaskett i NCC Groups nye white paper. Plaskett, som utvikler sårbarhetsutnyttelser i NCC Group, har gransket Claude Code, Cursor og Codex slik de kjøres på utviklerens egen maskin.
Rapporten avgrenser seg til vilkårlig kode- og kommandokjøring, ikke datatyveri, og forsøker å trekke en grense mellom oppførsel leverandøren har ment å tillate og det som er reelle sårbarheter. Skillet er uklart nettopp fordi kodeagenter er laget for å kjøre kommandoer og røre ved filer, nettverk og utviklerverktøy. En handling som er normal inne i et betrodd prosjekt, kan være alvorlig før arbeidsområdet er godkjent.
Vernet varierer kraftig mellom produkter, operativsystemer og oppsett. Claude Code kan bruke Seatbelt på macOS og bubblewrap på Linux, mens støtten på Windows er begrenset med mindre du kjører under WSL2. Hooks får særlig oppmerksomhet: de kjører ofte uten sandkasse, så en angriper som klarer å plante en hooks-fil kan få kode til å kjøre utenfor agentens vanlige begrensninger. Plaskett advarer også mot å regne med at modellen selv stopper skadelige handlinger, siden avslagene er inkonsistente. Programvaren rundt modellen er den egentlige forsvarslinjen.
Hva bør du gjøre?
- Slå på sandkasse eksplisitt: Seatbelt på macOS, bubblewrap på Linux, WSL2 på Windows.
- Gjennomgå hooks-filer som kjørbar kode i kodegjennomgangen, ikke som ufarlig konfigurasjon.
- Regn modellens avslag som en bremsekloss, ikke en sikkerhetsgrense. Sett filrettigheter og godkjenningssteg på operativsystemnivå rundt agenten.