Claude installerer npm-pakker selv, og feil pakke kan stjele filene dine

Claudes Computer Use-funksjon kan noe en vanlig chatbot ikke kan. Den åpner en terminal på datamaskinen din og installerer programvare for deg, inkludert pakker hentet rett fra npm, verdens største register for åpen kildekode. Lokkingen er åpenbar, for den krymper «sett opp dette prosjektet for meg» til én eneste setning. Risikoen ligger i samme setning, for i det øyeblikket en pakke lander, kan npm kjøre oppstartskoden pakken bar med seg, og nå er det en autonom agent som trykker på avtrekkeren.

For alle som lar en KI-agent skrive eller kjøre kode, og det er en raskt voksende gruppe utviklere, hobbyfolk og nysgjerrige uten teknisk bakgrunn, er det praktiske spørsmålet rett på sak. Hvis Claude installerer en pakke du aldri så på, og den pakken ble bygget for å kopiere filene dine i det øyeblikket den lander, hvem skulle ha stanset den? En fersk video fra en sikkerhetsforsker går gjennom akkurat den situasjonen og viser en rigget pakke som leser lokale filer under en rutinemessig installasjon som KI-en gjennomfører uten å nøle.

Mekanismen er ikke ny, og det er nettopp det som gjør den alvorlig. npm-pakker får lov til å oppgi installasjonsskript, små instruksjoner som kjøres automatisk så snart en pakke legges til i et prosjekt, før en eneste linje av den bevisst brukes. Det er en dokumentert oppførsel, ikke en feil. Det lar legitime verktøy kompilere seg selv eller klargjøre miljøet sitt. Det betyr også at hvilken som helst pakke kan kjøre kode på maskinen din ved installasjonen, med de samme rettighetene som du har, og sikkerhetsteam har advart mot det i årevis.

Verden fikk en skarp påminnelse om hva som står på spill da angripere overtok vedlikeholderkontoen bak Axios, et nettverksbibliotek som lastes ned titalls millioner ganger i uken, og snek inn en ondsinnet avhengighet som installerte en fjerntilgangstrojaner på utviklernes maskiner. De rørte aldri den ekte Axios-koden. Installasjonsskriptet gjorde jobben. Axios er tilfeldigvis en byggekloss i selve Claude Code, ved siden av utallige andre programmer, noe som viser hvor kort avstanden er mellom verktøyet du stoler på og koden det stille drar med seg.

Det demonstrasjonen legger til det velkjente bildet, er agenten. Et menneske som starter en installasjon, kan i det minste stoppe opp, lese pakkenavnet, legge merke til at det er feilstavet eller nettopp publisert, og trekke seg. En KI-agent som handler på en løs instruksjon, har ingen slik refleks. Den installerer det den bestemmer at den trenger. Og siden Computer Use også leser skjermen, flytter markøren og skriver, blir ikke en forgiftet avhengighet sittende fast inne i koderedigereren. Den har fritt spillerom over hele skrivebordet.

Det er verdt å være presis om hva dette er og ikke er. Det er ikke en skjult bakdør som er unik for Claude, og ikke bevis på at modellen ble lurt til å omgå sine egne regler. Det er det forutsigbare resultatet av å gi et hvilket som helst autonomt program makten til å installere programvare, kombinert med et register som har kjørt installasjonskode som standard i over et tiår. Bytt ut Claude med en hvilken som helst annen kodeagent med de samme rettighetene, og bildet er identisk. Faren bor i autonomien og i registeret, ikke i én bedrifts chatbot.

Anthropic skyver om noe i motsatt retning. Selskapet leverte nylig en sandkasse for kodeverktøyene sine som stenger agenten ute fra resten av systemet, begrenser hvilke filer den får lese og hvilke servere den kan nå, og ga ut det underliggende isolasjonsverktøyet som åpen kildekode for andre utviklere. Resonnementet er det demoen blottlegger. En agent som ikke når SSH-nøklene dine, kan ikke lekke dem, og en agent som ikke kan kontakte en ukjent server, kan ikke sende filene dine noe sted. Selskapet sier at de grensene kutter antallet tillatelsesforespørsler det viser brukerne med rundt 84 prosent, noe som betyr noe fordi et verktøy som spør om alt, raskt lærer folk å klikke ja.

For dem som faktisk bruker verktøyene, er forsvaret kjedelig og effektivt. Kjør agenten i en sandkasse, en container eller en engangs virtuell maskin, slik at det verste en dårlig pakke kan nå, er et miljø du kan ofre. Slå av automatiske installasjonsskript der arbeidsflyten tillater det, noe et par nyere pakkebehandlere allerede gjør som standard. Hold påloggingsdetaljer, nøkler og personlige filer borte fra maskinen der en agent har frie tøyler. Og behandle «installer dette for meg» med den forsiktigheten du ville gitt «åpne dette vedlegget i e-posten», for under overflaten ligger det nærmere det enn det føles.

Den konkrete pakken i demonstrasjonen er én forskers bevis, ikke et reelt utbrudd, og det er ingen tegn til at den nådde ekte brukere. Mønsteret bak den er den delen som ikke kommer til å stå stille. Agentdrevet koding blir standard raskere enn vanene som skal holde den trygg, og registrene disse agentene støtter seg på, ble aldri bygget for en verden der den som skriver installasjonskommandoen, ikke er et menneske. Inntil det gapet lukkes, peker den eldste regelen i programvaresikkerhet nå mot en ny slags bruker: det agenten din installerer, kjører den, så bestem hva den får røre før du lar den begynne.