Безопасники из Profero нашли возможность атаковать ИИ-агента Claude через отложенную запись — спрятав вредоносную инструкцию в его собственном скилл-файле. По плану, она должна сработать как «закладка» — активироваться часами или днями позже, в другой сессии.

Скилл в экосистеме Claude — стандартный текстовый файл в формате markdown без подписей и контрольных сумм, лежащий на диске пользователя и описывающий workflow по регулярно выполняемой задаче (его можно как прописать вручную, так и попросить агента создать или отредактировать). Когда ИИ понимает, что задача относится к скиллу, он загружает этот файл и следует инструкции.

Суть в том, что модель читает скилл как доверенный контекст. Это и открывает брешь для возможной атаки. Десктоп-приложение Claude запускает свой рабочий процесс с флагом, отключающим почти все запросы на подтверждение опасных действий — кроме двух блоков на удаление всего диска. Защитная «песочница» же смотрит только за запуском системных команд.

Если условный злоумышленник просто даст агенту вредоносные инструкции (например, вставив их в документ), то такое действие сразу будет заблокировано системой. Поэтому — для достижения своей цели — он, не вызывая подозрений, попросит отредактировать скилл-файл, вписав туда всё, что требуется, и будет ждать момента, когда агент исполнит инструкцию как легитимную — в другой доверенной сессии. В логах эти два события не будут связаны между собой.

В Profero уточнили, что всё вышеописанное касается локальных версий — десктопного Claude и Claude Code на машине пользователя.