SecurityWeek ngày 7/5 (giờ địa phương) đưa tin một lỗ hổng trong công cụ AI hỗ trợ viết mã Claude Code có thể bị lợi dụng để thực hiện tấn công chuỗi cung ứng, thông qua cơ chế tự động tìm và tải mã nguồn.

Theo các nhà nghiên cứu tại Adversa.AI, kẻ tấn công có thể đưa lên GitHub một repository được ngụy trang nhưng có cài cắm mã độc. Khi nhà phát triển sử dụng Claude Code, công cụ này có thể tự động tải repository đó về máy. Ngay sau khi quá trình tải hoàn tất, thiết bị của nhà phát triển có nguy cơ bị chiếm quyền điều khiển từ xa.

Adversa.AI cho biết khi nhà phát triển bắt đầu một tác vụ mới trên Claude Code, agent của hệ thống sẽ tự động tìm repository phù hợp để sử dụng. Sau khi tải repository độc hại, màn hình sẽ hiện hộp thoại hỏi người dùng có tin cậy thư mục đó hay không, với lựa chọn mặc định là “tin cậy”.

Hộp thoại này hiển thị nội dung theo hướng: “Bạn có tự tạo dự án này hoặc đây có phải là dự án bạn tin cậy không?”. Theo báo cáo, chỉ cần người dùng nhấn Enter một lần, thành phần độc hại do kẻ tấn công cài sẵn có thể tự động chạy trên máy tính của nhà phát triển với quyền quản trị, mà không cần Claude Code đưa thêm lệnh.

Rủi ro được đánh giá đặc biệt nghiêm trọng nếu Claude Code được sử dụng trong môi trường CI/CD. Báo cáo cho rằng tải trọng tấn công có thể đọc biến môi trường, khóa triển khai, chứng chỉ ký và thông tin xác thực của tài khoản đang chạy, sau đó xâm nhập vào quy trình build.

Alex Polyakov, đồng sáng lập kiêm giám đốc công nghệ (CTO) của Adversa.AI, nhận định các nhà phát triển sử dụng những công cụ phổ biến từ lâu đã là mục tiêu trọng yếu trong các cuộc tấn công thực tế. Theo ông, việc Claude Code được cài trên phần lớn thiết bị của lập trình viên, cùng thói quen thường xuyên clone các repository lạ, khiến kịch bản tấn công này hoàn toàn khả thi.

SecurityWeek cho biết Adversa.AI đã báo cáo vấn đề cho Anthropic, nhưng công ty này không đưa ra biện pháp xử lý riêng. Quan điểm của Anthropic là khi người dùng chọn tin cậy một thư mục, điều đó đồng nghĩa với việc chấp nhận toàn bộ nội dung bên trong.

Tuy nhiên, Adversa.AI phản bác rằng việc người dùng đồng ý trong khi chưa biết chính xác thư mục chứa những gì có được xem là một sự chấp thuận trên cơ sở đầy đủ thông tin hay không vẫn là vấn đề gây tranh cãi.