AI-агенты атакуют AI-агентов AI-агент hackerbot-claw, представляясь исследовательским агентом на базе claude-opus-4-5, в течении недели сканировал популярные open-source проекты. Находил ошибки в GitHub Actions и эксплуатировал их для RCE. https://www.stepsecurity.io/blog/hackerbot-claw-github-actions-exploitation Наиболее крупный пострадавший — проект Trivy, у которого украли PAT. В результате родную репу перезаписали пустой и удалили все релизы за несколько лет. Другие известные пострадавшие: - https://github.com/microsoft/ai-discovery-agent — инъекция через хитрое имя ветки. - https://github.com/DataDog/datadog-iac-scanner — инъекция shell-команд через имена файлов. - https://github.com/avelino/awesome-go — кража GITHUB_TOKEN с правами на запись через подмену Go-скрипта. - https://github.com/ambient-code/platform — prompt injection, нацеленная на AI-ревьюера (Claude), которая, правда, была успешно самим Claude и заблокирована. - https://github.com/project-akri/akri — инъекция скрипта через /version minor комментарий. - https://github.com/RustPython/RustPython — инъекция Base64-пейлоада через имя ветки. Как защититься: 1. Если пайплайн (особенно с AI-агентами) должен чекаутить код из форка — использовать только pull_request. Если нужен pull_request_target, НЕ делайть чекаут кода из PR-ветки. 2. Permissions - только read и write только там, где реально нужно. 3. Не передавайте неэкранированные переменные типа ${{ github.event.pull_request.head.ref }} напрямую в run: блоки bash-скриптов — используйте environment variables. Такие времена — теперь агенты ломают агентов.