Agenci kodujący AI są już użyteczni. Dlatego potrzebują zasad bezpieczeństwa
GhostApproval, Friendly Fire i Ghostcommit pokazują, że agenci kodujący to uprzywilejowana automatyzacja, nie tylko lepsze autocomplete.
Agenci kodujący AI przestali być ciekawostką. Czytają repozytoria, zmieniają pliki, uruchamiają komendy, stosują instrukcje projektu i pomagają w pull requestach. To daje wartość, ale oznacza też uprzywilejowaną automatyzację na komputerze programisty.

Argument produktywności jest poważny. Paper arXiv o wczesnym wdrożeniu Claude Code i GitHub Copilot CLI w Microsofcie podaje, że użytkownicy mergowali około 24% więcej pull requestów, niż można było oczekiwać. Autorzy zastrzegają, że merged PR to tylko proxy dla outputu, a koszty tokenów mogą w skali firmy sięgać milionów dolarów rocznie.
W tym samym czasie pojawiły się trzy ostrzeżenia: GhostApproval od Wiz, Friendly Fire od AI Now Institute i Ghostcommit od ASSET Research Group. Wniosek nie brzmi: przestańcie używać agentów. Brzmi: traktujcie ich jak CI runners, contractors i uprzywilejowane rozszerzenia IDE.
Co się zmieniło
Autocomplete proponował linię. Współczesny agent czyta AGENTS.md, skanuje workspace, wywołuje narzędzia, zmienia kod, uruchamia testy, czyta dokumenty i obrazy oraz działa w procesie review. Złośliwe repozytorium może stać się środowiskiem instrukcji.
Jeśli narzędzie może czytać sekrety, pisać pliki i wykonywać komendy, ktoś będzie próbował nim sterować.
GhostApproval: zgoda użytkownika nie wystarczy
Wiz opublikował GhostApproval 8 lipca. Mechanizm: złośliwe repozytorium używa symlinków, by asystent zapisał plik poza workspace, podczas gdy UI akceptacji pokazuje niegroźnie wyglądającą lokalną ścieżkę.
Wiz wymienia Amazon Q Developer, Anthropic Claude Code, Augment, Cursor, Google Antigravity i Windsurf jako testowane narzędzia z tym wzorcem. Część vendorów szybko poprawiła problem, część była w toku albo odrzuciła zgłoszenie. Podczas researchu widoczne były strony NVD dla CVE-2026-12958 i CVE-2026-50549.
Lekcja: "użytkownik zatwierdził" nie jest wystarczające, jeśli użytkownik nie widzi kanonicznej ścieżki, prawdziwego celu i skutków ubocznych.
Friendly Fire: obronny review też może być atakiem
AI Now Institute opisuje Friendly Fire jako proof of concept RCE przeciw Claude Code CLI i OpenAI Codex CLI, gdy narzędzia służą do oceny obcych bibliotek. Atak używa prompt injections rozproszonych w kodzie źródłowym i celuje w tryby automatyczne.
To nie jest dowód masowej eksploatacji. To research disclosure. Ale scenariusz jest bardzo realny: firma chce, by agent sprawdził nieznaną zależność. Taką pracę trzeba uruchamiać w środowisku jednorazowym, bez prawdziwych sekretów, tokenów publikacji, szerokiej sieci i auto-approve.
Ghostcommit: instrukcja ukryta w obrazie
BleepingComputer opisał Ghostcommit 11 lipca. ASSET ukrywa instrukcje w PNG wskazanym przez AGENTS.md. Reviewer tekstowy i część AI reviewerów nie czyta obrazu. Później agent może odczytać instrukcję i wynieść sekrety jako pozornie zwykłe dane.
ASSET twierdzi, że przeanalizował 6.480 pull requestów z 300 aktywnych repozytoriów i że 73% trafiło do default branch bez istotnego review człowieka ani bota. Praktyczny punkt: obrazy, dokumenty i pliki instrukcji mogą wpływać na agentów.
BleepingComputer podaje, że Cursor z Claude Sonnet wyciekł .env w jednym teście, a Claude Code odmówił w ich testach. Model to nie cały produkt. Wrapper, uprawnienia i defaults mają ogromne znaczenie.
Co robić teraz
Nie uruchamiaj agenta na niezaufanym repozytorium w codziennym środowisku pracy. Użyj kontenera, VM albo jednorazowego workspace. Bez prawdziwych SSH keys, cloud credentials i publish tokens. Sieć blokowana albo logowana. Auto-approve wyłączone dla ryzykownych zadań.
Oddziel sekrety od workspace agenta. Sprawdzaj symlinki i resolved paths. Traktuj AGENTS.md, README, obrazy, SVG, docs i metadata jako wejścia, które mogą instruować agenta. Ogranicz MCP servers, cloud CLI i dostęp do filesystemu. Loguj prompts, tool calls, diffs, shell commands i model choices.
Kontroluj też koszty. Agenci to compute. Potrzebne są budgets, dashboards i model policies.
Decyzja wdrożeniowa
Używaj agentów w zaufanych repozytoriach i kontrolowanych środowiskach: migracje, testy, dokumentacja, powtarzalne refaktoryzacje. Ogranicz je przy wrażliwych repozytoriach, dopóki sandboxing, logi i approvals nie są realne. Obcy kod traktuj jak analizę malware.
Następna faza AI Practice to nie więcej promptów. To dyscyplina operacyjna wokół agentów, którzy mogą działać.
Comments
Sign in to comment.
No comments yet.