Claude installerer npm-pakker selv, og den forkerte kan stjæle dine filer

Claudes Computer Use-funktion kan noget, en almindelig chatbot ikke kan. Den åbner en terminal på din computer og installerer software for dig, herunder pakker hentet direkte fra npm, verdens største register over åben kildekode. Tiltrækningen er åbenlys, for den skrumper «sæt det her projekt op for mig» til én enkelt sætning. Risikoen ligger i samme sætning, for i det øjeblik en pakke lander, kan npm køre den startkode, pakken bragte med sig, og nu er det en autonom agent, der trykker på aftrækkeren.

For enhver, der lader en AI-agent skrive eller køre kode, og det er en hastigt voksende gruppe af udviklere, hobbyfolk og nysgerrige uden teknisk baggrund, er det praktiske spørgsmål kontant. Hvis Claude installerer en pakke, du aldrig så på, og den pakke blev bygget til at kopiere dine filer i det øjeblik den lander, hvem skulle så have stoppet den? En nylig video fra en sikkerhedsforsker gennemgår præcis den situation og viser en fælderigget pakke, der læser lokale filer under en rutineinstallation, som AI’en gennemfører uden at tøve.

Mekanismen er ikke ny, og det er netop det, der gør den alvorlig. npm-pakker må erklære installationsscripts, små instruktioner, der køres automatisk, så snart en pakke føjes til et projekt, før en eneste linje af den bevidst bruges. Det er en dokumenteret adfærd, ikke en fejl. Det lader legitime værktøjer kompilere sig selv eller klargøre deres miljø. Det betyder også, at enhver pakke kan køre kode på din maskine ved installationen, med de samme rettigheder, som du har, og sikkerhedshold har advaret om det i årevis.

Verden fik en skarp påmindelse om, hvad der står på spil, da angribere overtog vedligeholderkontoen bag Axios, et netværksbibliotek, der hentes titals millioner gange om ugen, og listede en ondsindet afhængighed ind, der installerede en fjernadgangstrojaner på udviklernes maskiner. De rørte aldrig den rigtige Axios-kode. Installationsscriptet gjorde arbejdet. Axios er tilfældigvis en byggesten i selve Claude Code, ved siden af utallige andre programmer, hvilket viser, hvor kort afstanden er mellem værktøjet, du stoler på, og koden, det stille trækker med sig.

Det, demonstrationen føjer til det velkendte billede, er agenten. Et menneske, der starter en installation, kan i det mindste standse op, læse pakkens navn, bemærke, at den er stavet forkert eller netop udgivet, og trække sig. En AI-agent, der handler på en løs instruktion, har ingen sådan refleks. Den installerer det, den beslutter, den har brug for. Og da Computer Use også læser skærmen, flytter markøren og skriver, bliver en forgiftet afhængighed ikke fanget inde i kodeeditoren. Den har fri bane over hele skrivebordet.

Det er værd at være præcis med, hvad det er, og hvad det ikke er. Det er ikke en skjult bagdør, der er unik for Claude, og ikke bevis på, at modellen blev narret til at omgå sine egne regler. Det er det forudsigelige resultat af at give et hvilket som helst autonomt program magten til at installere software, kombineret med et register, der har kørt installationskode som standard i over et årti. Skift Claude ud med en hvilken som helst anden kodeagent med de samme rettigheder, og billedet er identisk. Faren bor i autonomien og i registret, ikke i ét firmas chatbot.

Anthropic skubber om noget i den modsatte retning. Firmaet leverede for nylig en sandkasse til sine kodeværktøjer, der spærrer agenten ude fra resten af systemet, begrænser, hvilke filer den må læse, og hvilke servere den kan nå, og udgav det underliggende isolationsværktøj som åben kildekode til andre udviklere. Tankegangen er den, demoen blotlægger. En agent, der ikke kan nå dine SSH-nøgler, kan ikke lække dem, og en agent, der ikke kan kontakte en ukendt server, kan ikke sende dine filer nogen steder hen. Firmaet siger, at de grænser skærer antallet af tilladelsesforespørgsler, det viser brugerne, med omkring 84 procent, hvilket betyder noget, fordi et værktøj, der spørger om alt, hurtigt lærer folk at klikke ja.

For dem, der faktisk bruger værktøjerne, er forsvaret kedeligt og effektivt. Kør agenten i en sandkasse, en container eller en engangs virtuel maskine, så det værste, en dårlig pakke kan nå, er et miljø, du kan ofre. Slå automatiske installationsscripts fra, hvor arbejdsgangen tillader det, noget et par nyere pakkehåndteringsværktøjer allerede gør som standard. Hold loginoplysninger, nøgler og personlige filer væk fra maskinen, hvor en agent har frit spil. Og behandl «installer det her for mig» med den forsigtighed, du ville give «åbn denne vedhæftede fil i mailen», for under overfladen er det tættere på det, end det føles.

Den konkrete pakke i demonstrationen er én forskers bevis, ikke et reelt udbrud, og der er intet tegn på, at den nåede rigtige brugere. Mønsteret bag den er den del, der ikke bliver stående. Agentdrevet kodning bliver standard hurtigere end de vaner, der skal holde den sikker, og de registre, disse agenter læner sig op ad, blev aldrig bygget til en verden, hvor den, der skriver installationskommandoen, ikke er et menneske. Indtil den kløft lukker, peger den ældste regel i softwaresikkerhed nu på en ny slags bruger: det din agent installerer, kører den, så beslut, hvad den må røre, før du lader den begynde.