IBM je predstavio svog AI razvojnog agenta, poznatog kao Bob, kao partnera koji razume namere korisnika, repozitorijume i sigurnosne standarde. Nažalost, čini se da Bob ne prati uvek te sigurnosne protokole.
Bob je najavljen prošlog oktobra i trenutno se nalazi u zatvorenoj beta fazi, dostupnom kroz komandnu liniju (CLI) i integrisano razvojno okruženje (IDE), slično kao Claude Code ili Cursor.
Istraživači iz kompanije PromptArmor su otkrili da Bob može biti manipulisan u izvršavanju malvera. Izveštavaju da je CLI podložan napadima putem injekcija, dok je IDE ranjiv na uobičajene vektore za iznošenje podataka specifičnih za AI.
Softver za AI agente, koji se često koristi za obavljanje zadataka u iterativnom ciklusu, poznat je po svojoj nesigurnosti. Mnogi proizvođači upozoravaju na rizike koji dolaze sa korišćenjem ovih alata. Istraživač Johann Rehberger je više puta demonstrirao kako mogu postojati ranjivosti poput injekcija ili tradicionalnih grešaka u kodiranju koje omogućavaju izvršavanje malicioznog koda.
Jedan od predloga za rešavanje ovih problema uključuje uključivanje ljudskog faktora koji bi odobrio rizične akcije. Ovo je takođe slučaj sa Bob-om, gde se upozorava da automatsko odobravanje visokorizičnih komandi može omogućiti štetne operacije.
IBM preporučuje da korisnici koriste liste dozvoljenih komandi i izbegavaju korišćenje wildcard karaktera, uz pretpostavku da će agent tražiti odobrenje korisnika za izvršavanje rizičnih komandi.
Ipak, istraživači iz PromptArmor su ustanovili da Bobove odbrambene mere nisu dovoljno čvrste. U testovima su mu dali repozitorijum sa malicioznim README.md datotekom koja je sadržavala uputstva da Bob izvrši obuku o phishingu sa korisnikom.
U datoteci su se nalazile serije „echo“ komandi koje, kada se unesu u terminal, ispisuju poruke na standardni izlaz. Iako su prve dve komande bezopasne, treća pokušava da preuzme maliciozni skript. Ako korisnik odobri izvršavanje „echo“ komandi, malver će biti instaliran i pokrenut bez dodatnog odobrenja.
Prema istraživačima, Bob takođe ne prepoznaje kada su različite podkomande povezane koristeći redirekcioni operator „>“, što omogućava izvršavanje niza malicioznih komandi.
Ova ranjivost bi mogla dovesti do ozbiljnih posledica, uključujući mogućnost instaliranja ransomware-a, krađu kredencijala ili preuzimanje kontrole nad uređajem.
IBM još uvek nije komentarisao ovu ranjivost, ali su obavešteni o problemu.
