Il 27 giugno 2026 i ricercatori di Mozilla 0DIN hanno dimostrato un proof-of-concept che trasforma la proattività di Claude Code in un vettore d'attacco. L'agente AI di Anthropic, progettato per risolvere autonomamente i problemi, viene indotto a eseguire una reverse shell senza che nella repository GitHub esista alcun codice malevolo. L'intero payload risiede esternamente, in un record DNS TXT controllato dall'attaccante.
- La repository GitHub è deliberatamente priva di codice malevolo: nessuno strumento di sicurezza la segnalerebbe come sospetta.
- L'attacco si attiva quando Claude Code, per "essere utile", esegue automaticamente un comando di init suggerito da un errore fittizio.
- La catena usa tre livelli di indirezione: errore → script shell → record DNS TXT → payload base64 che apre reverse shell.
- La reverse shell opera con i privilegi dello sviluppatore, esponendo API key, variabili d'ambiente e file di configurazione.
Come funziona la catena di indirezione
I ricercatori hanno costruito un pacchetto Python chiamato Axiom che, una volta installato, genera un errore apparentemente legittimo. Il messaggio suggerisce di eseguire python3 -m axiom init per risolvere il problema di configurazione. Claude Code, interpretando l'errore come un normale ostacolo al setup del progetto, esegue il comando automaticamente senza richiedere conferma all'utente.
Questo comportamento non è un bug convenzionale ma una conseguenza diretta del design dell'agente. Secondo i ricercatori di 0DIN, citati da BleepingComputer, l'AI "tratta questo come un normale problema di setup ed esegue automaticamente il comando suggerito mentre tenta di recuperare dall'errore". La decisione di eseguire non nasce da una compromissione del modello, ma dalla logica interna che premia la risoluzione proattiva dei problemi.
Il comando init attiva uno script shell che effettua un lookup DNS verso il dominio _axiom-config.m100.cloud. Il record TXT restituito contiene una stringa codificata in base64 che, una volta decodificata e passata alla shell, apre una reverse shell verso un server controllato dall'attaccante. Tom's Hardware, seconda fonte primaria sulla ricerca, conferma che "il record TXT contiene una stringa codificata (base64) che semplicemente apre una reverse shell".
La distanza tra l'azione iniziale dell'AI e il payload finale è il cuore dell'ingegneria sociale automatizzata. Il malware non è mai presente nella repository: transita per un canale che nessuno scanner tradizionale ispeziona.
Perché i controlli di sicurezza falliscono
La pulizia intenzionale della repository rende l'attacco invisibile ai controlli standard. Non ci sono dipendenze malevole nel requirements.txt, nessuno script sospetto nel codice sorgente, nessun binario offuscato. Secondo la formulazione riportata da Tom's Hardware, "pochissimi strumenti di scansione di sicurezza (se ce ne sono) segnalerebbero la repository".
I tre livelli di indirezione—errore artificiale, script intermedio, record DNS esterno—frantumano la tracciabilità del payload. L'AI agent non valuta mai direttamente il codice della reverse shell: valuta un errore, esegue uno script, e ignora completamente il record DNS. Come hanno sintetizzato i ricercatori in una citazione riportata da BleepingComputer, "la reverse shell è a tre passi di indirezione da qualsiasi cosa Claude Code abbia effettivamente valutato: un messaggio di errore in cui si fidava, uno script che recuperava un valore, e un record DNS che non ha mai visto".
Questa architettura sfida il paradigma della supply chain security, che presume che il rischio risieda nel codice verificabile. Qui il codice verificabile è innocuo; il rischio risiede nel comportamento emergente dell'agente di fronte a input apparentemente benigni.
"Claude Code non ha mai deciso di aprire una shell. Ha deciso di correggere un errore." — Mozilla 0DIN researchers
Il perimetro di esposizione reale
Una volta attiva, la reverse shell opera con i privilegi dell'utente che ha lanciato Claude Code. Nel contesto tipico di uno sviluppatore, questo significa accesso a API key memorizzate in variabili d'ambiente, file di configurazione sensibili, token di autenticazione per servizi cloud e potenzialmente chiavi SSH per repository private. Secondo BleepingComputer, la shell "gira con i privilegi dello sviluppatore, dando accesso a API keys, variabili d'ambiente, file di configurazione".
L'attacco è dimostrato come proof-of-concept, non come exploitation in-the-wild. Tuttavia i ricercatori hanno evidenziato la facilità di distribuzione attraverso vettori sociali comuni: annunci di lavoro falsi che richiedono di clonare una repository, tutorial tecnicamente plausibili, post di blog con progetti "dimostrativi". La barriera all'attacco è bassa perché non richiede compromissione di account GitHub, injection nel codice o tecniche di offuscamento sofisticate.
Il dossier non specifica se la stessa catena sia riproducibile su altri agenti AI come Cursor, GitHub Copilot Chat o strumenti simili. L'attacco è documentato esclusivamente su Claude Code, e qualsiasi estensione del meccanismo ad altri prodotti resta non verificata.
Cosa fare adesso
- Verificare che gli agenti AI in uso non eseguano comandi automatici senza richiedere conferma esplicita, specialmente per operazioni che richiedono privilegi elevati o accesso a risorse esterne.
- Ispezionare il dominio DNS
_axiom-config.m100.cloude varianti simili nei log di rete per identificare eventuali tentativi di lookup sospetti. - Valutare l'implementazione di sandbox isolate per le sessioni in cui gli agenti AI interagiscono con repository non verificate, limitando l'accesso a variabili d'ambiente con credenziali.
- Richiedere disclosure della catena di esecuzione completa da parte dei vendor di agenti AI, inclusa la visibilità su comandi intermedi generati autonomamente prima dell'esecuzione.
Perché è importante
Questa ricerca sposta il focus della cybersecurity per l'AI da vulnerabilità del modello a vulnerabilità del comportamento. Non si tratta di jailbreak prompt o di poisoning del training set, ma di una logica di interazione che premia l'autonomia senza sufficiente distinzione tra contesti sicuri e insicuri. La "helpfulness" diventa una superficie d'attacco quando l'agente non possiede un modello del mondo sufficientemente ricco per riconoscere un errore artificiale da uno genuino.
Per le aziende che stanno distribuendo agenti AI nei workflow degli sviluppatori, il messaggio è chiaro: i controlli di sicurezza devono coprire non solo il codice che si esegue, ma le decisioni che l'agente prende su cosa eseguire. Il perimetro si espande dal repository al comportamento, e questa espansione non è ancora riflessa nelle policy di trust e verifica predominanti. Anthropic non ha rilasciato al momento una patch o una mitigazione ufficiale documentata nel dossier.
Fonti
- https://www.bleepingcomputer.com/news/security/clean-github-repo-tricks-ai-coding-agents-into-running-malware/
- https://www.tomshardware.com/tech-industry/cyber-security/ai-coding-agents-can-be-tricked-into-installing-malware-via-clean-github-repositories-mozillas-0din-team-shows-how-claude-code-can-be-exploited-by-its-own-helpfulness
Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.
Fonti
- https://thehackernews.com/2026/06/amazon-q-developer-flaw-could-let.html
- https://giovannigatti.github.io/cve-bench/
- https://www.penligent.ai/hackinglabs/bleeping-computer-cve-2026-20841-why-everyones-searching-it-and-how-to-turn-a-news-habit-into-a-security-workflow/
- https://www.stepsecurity.io/blog/microsofts-durabletask-pypi-package-compromised-in-supply-chain-attack
- https://thehackernews.com/2026/04/weekly-recap-fast16-malware-xchat.html
- https://nvd.nist.gov/vuln/detail/CVE-2026-20841?utm_source=chatgpt.com
- https://nvd.nist.gov/vuln/detail/CVE-2026-21510?utm_source=chatgpt.com
- https://www.bleepingcomputer.com/news/microsoft/microsoft-february-2026-patch-tuesday-fixes-6-zero-days-58-flaws/https://www.bleepingcomputer.com/news/microsoft/windows-11-notepad-flaw-let-files-execute-silently-via-markdown-links/https://nvd.nist.gov/vuln/detail/CVE-2026-20841https://nvd.nist.gov/vuln/detail/CVE-2026-21510https://www.cisa.gov/news-events/alerts/2026/02/10/cisa-adds-six-known-exploited-vulnerabilities-cataloghttps://www.cisa.gov/known-exploited-vulnerabilities-cataloghttps://www.similarweb.com/website/bleepingcomputer.com/https://www.bleepingcomputer.com/rss-feeds/https://www.penligent.ai/hackinglabs/cve-2026-20841-poc-when-notepad-learns-markdown-a-click-can-become-execution/https://www.penligent.ai/hackinglabs/cve-2026-21510-poc-the-smartscreen-moment-that-never-happens/
- https://www.cisa.gov/news-events/alerts/2026/02/10/cisa-adds-six-known-exploited-vulnerabilities-catalog?utm_source=chatgpt.com
- https://www.bleepingcomputer.com/news/microsoft/microsoft-february-2026-patch-tuesday-fixes-6-zero-days-58-flaws/?utm_source=chatgpt.com