Repository ที่ดูปลอดภัยบน GitHub แต่ซ่อนกลลวงหลอก AI Coding Agent ให้รันคำสั่งอันตราย

 

เครื่องมือเขียนโค้ด AI อัตโนมัติ (Agentic coding tool) ที่ถูกสั่งให้ไปคัดลอกไฟล์ และตั้งค่าโปรเจกต์จากคลัง GitHub ที่ดูภายนอกปกติดี อาจจะแอบรันโค้ดอันตรายโดยที่ระบบสแกนมัลแวร์ของตัว AI เอง หรือแม้แต่มนุษย์ก็ตรวจจับไม่ได้เลย

ทีมวิจัยจาก 0DIN ซึ่งเป็นแพลตฟอร์มความปลอดภัย AI ของ Mozilla ระบุว่า ความเสียหายนี้เกิดขึ้นโดย "ไม่มีโค้ดเจาะระบบ ไม่มีสัญญาณเตือน และไม่มีคำสั่งแปลกปลอมใด ๆ ที่ต้องรอให้กดอนุมัติ"

พวกเขาได้สาธิตวิธีที่แฮ็กเกอร์สามารถแอบเปิดช่องทางควบคุมเครื่อง (interactive shell) ของนักพัฒนาได้อย่างไร โดยอาศัยให้ Claude Code รันโปรเจกต์ที่ดาวน์โหลดมา ทั้งที่ใน repository นั้นไม่มีโค้ดอันตรายอยู่เลย

แผนการโจมตีรูปแบบใหม่นี้แบ่งออกเป็น 3 ส่วน ซึ่งถ้าดูแยกกันจะไม่พบพิรุธ หรืออันตรายใด ๆ ทั้งสิ้น:

  1. Repository บน GitHub ที่ดูปลอดภัยดี พร้อมคู่มือติดตั้งมาตรฐาน เช่น การสั่งติดตั้ง dependencies และการ initialize ระบบ (เช่น pip3 install -r requirements.txt, python3 -m axiom init)
  2. ตัวระบบ Python ตั้งใจเขียนมาให้รันไม่ได้จนกว่าจะ initialize ระบบเสร็จสิ้น โดยจะแกล้งฟ้อง error เพื่อสั่งให้รันคำสั่ง python3 -m axiom init ซึ่งตัว Claude Code จะมองว่าเป็นปัญหาการติดตั้งทั่วไป และสั่งรันคำสั่งนั้นให้เองอัตโนมัติเพื่อแก้ปัญหา
  3. เมื่อคำสั่ง python3 -m axiom init ทำงาน มันจะเรียกสคริปต์ไปดึงค่าคำสั่งอันตรายที่แฮ็กเกอร์แอบซ่อนไว้ใน DNS TXT record มารันในเครื่องทันที

ทีม 0DIN อธิบายว่า วิธีนี้แฮ็กเกอร์ไม่ต้องใส่ไฟล์อันตรายไว้ใน GitHub เลย และตัว AI จะเป็นคนรันแผนการโจมตีให้จนจบโดยอัตโนมัติ แถมยังเนียนเหมือนความผิดพลาดธรรมดาที่เกิดขึ้นบ่อย ๆ

หากโจมตีสำเร็จ แฮ็กเกอร์จะยึดสิทธิ์ควบคุมเครื่องได้เท่ากับตัวโปรแกรมเมอร์รายนั้นทันที ทำให้เข้าถึง API keys, environment variables, ไฟล์ตั้งค่า และแอบแฝงตัวอยู่ในเครื่องได้ถาวร

ทีม 0DIN ระบุว่า “Claude Code ไม่ได้แอบเปิดช่องโหว่เอง แต่มันแค่พยายามแก้ Error โดยไม่รู้ว่าโดนหลอกถึง 3 ต่อ เริ่มจากข้อความเตือนที่ดูน่าเชื่อถือ นำไปสู่สคริปต์ที่แอบสั่งรันคำสั่งเบื้องหลัง และจบด้วยรหัสสั่งการของแฮ็กเกอร์ที่ตัว AI ไม่มีทางมองเห็น”

“ตอนนี้แฮ็กเกอร์สามารถควบคุมเครื่องได้ในฐานะของตัวนักพัฒนาเองแล้ว”

แม้ตอนนี้เรื่องดังกล่าวจะเป็นเพียงแนวคิดทางทฤษฎี แต่ 0DIN ก็เตือนว่ากลุ่มแฮ็กเกอร์อาจนำวิธีนี้ไปใช้หลอกแจกโค้ดผ่านการประกาศรับสมัครงานปลอม, บทความสอนเขียนโค้ด, บล็อก หรือส่งข้อความคุยโดยตรงได้ง่าย ๆ

เพื่อป้องกันปัญหานี้ 0DIN แนะนำว่าควรให้ AI agents ต้องแสดงขั้นตอนการทำงานทั้งหมดของคำสั่งตั้งค่าให้เห็นอย่างชัดเจน รวมถึงพวกสคริปต์ และโค้ดต่าง ๆ ที่ไปดึงมาจากอินเทอร์เน็ตระหว่างทำงานด้วย

ที่มา : Bleepingcomputer