В Банке данных угроз безопасности информации (BDU) зарегистрирована критическая уязвимость, затрагивающая популярный AI-инструмент для разработки программного обеспечения Axon Code. Проблема получила идентификатор BDU:2026-06555, а также международный номер CVE-2026-30303. Речь идёт о дефекте, который позволяет злоумышленнику выполнить произвольный код на целевой системе удалённо, без какой-либо аутентификации.
Детали уязвимости
Чем опасна эта уязвимость? Прежде всего, её критическим уровнем опасности. По стандарту CVSS 2.0 базовая оценка составляет максимальные десять баллов. По версии CVSS 3.1 показатель равен 9,8 - это также граница критической зоны. Другими словами, для эксплуатации не требуется ни прав доступа, ни взаимодействия с пользователем. Атакующему достаточно отправить специально сформированный запрос к уязвимой системе.
Инструмент Axon Code разработан компанией MatterAI и позиционируется как AI-помощник для написания и проверки кода. Он активно используется как корпоративными командами разработчиков, так и индивидуальными специалистами. Уязвимыми оказались все версии продукта вплоть до 4.123.1 включительно. Это означает, что под угрозой находятся тысячи рабочих станций и серверов, где развёрнута эта среда разработки.
В чём суть проблемы? Дело в некорректном использовании парсера команд. В компоненте Axon Code Parser, который отвечает за анализ пользовательских инструкций, применяется библиотека shell-quote. Эта библиотека изначально разрабатывалась для Unix-подобных операционных систем. Разработчики MatterAI использовали её без адаптации для платформы Windows, что и привело к критической ошибке.
Дело в том, что командная строка Windows использует собственные правила экранирования символов. В частности, специальный символ "^" (циркумфлекс) в Windows означает экранирование следующего за ним символа внутри командной строки. Библиотека shell-quote, рассчитанная на Unix, не понимает этих правил. В результате, когда AI-инструмент обрабатывает команды, содержащие такие символы, его парсер воспринимает их не так, как следовало бы. Злоумышленник может подставить в команду вредоносную последовательность, которая после обработки превратится в полноценную операцию. Это классическое внедрение в команду операционной системы - CWE-78 по международной классификации.
Как это выглядит на практике? Представьте, что разработчик просит AI-помощника выполнить какую-то утилиту в терминале. Если в запрос внедрить специальные символы, характерные для Windows, парсер обработает их некорректно. Вместо простой команды запустится вредоносный код, который атакующий заложил в запрос. Конечный пользователь даже не заметит подмены - AI-инструмент просто выполнит то, что ему сказали, но в искажённом виде.
Последствия такой уязвимости крайне серьёзны. Злоумышленник может удалённо выполнить любой код на компьютере жертвы. Это означает полную компрометацию системы: кражу исходных кодов проектов, доступ к базам данных, установку закладок и программ-шпионов. Для компании, использующей Axon Code, атака может обернуться утечкой интеллектуальной собственности, простоем разработки и финансовыми потерями.
Стоит отметить, что уязвимость была подтверждена производителем. Вендор уже выпустил обновление, которое устраняет проблему. Разработчикам рекомендуется обновить Axon Code до версии выше 4.123.1. Информацию о точном номере исправленной версии можно найти на официальном сайте MatterAI или в репозитории GitHub, где была опубликована детальная информация об инциденте.
Подобные случаи - не единичны. Искусственный интеллект, встроенный в среду программиста, становится новым вектором атак. Разработчики часто доверяют AI-помощникам выполнение команд от имени системы. И если сам AI-инструмент содержит уязвимость в обработке этих команд, он превращается в идеального посредника для атаки. Ситуация усугубляется тем, что многие современные инструменты для разработки работают в облаке или на серверах непрерывной интеграции, где последствия компрометации могут быть ещё серьёзнее.
Рекомендация для команд разработки: не затягивайте с обновлением. Это тот случай, когда риск очевиден, а исправление уже выпущено. Проверьте версию Axon Code в вашей инфраструктуре. Если она ниже 4.124, срочно обновитесь. Кроме того, стоит пересмотреть политику использования AI-инструментов, особенно тех, которые имеют доступ к командной строке. Возможно, стоит ограничить их права или запускать в изолированной среде.
Эта история - ещё одно напоминание о том, что скорость внедрения новых технологий не должна опережать качество их тестирования. Когда Unix-библиотека попадает в Windows-среду без должной адаптации, последствия могут быть катастрофическими. К счастью, уязвимость уже закрыта. Осталось лишь убедиться, что ваш софт обновлён.
Ссылки
- https://bdu.fstec.ru/vul/2026-06555
- https://www.cve.org/CVERecord?id=CVE-2026-30303
- https://github.com/Secsys-FDU/LLM-Tool-Calling-CVEs/issues/6
- https://www.matterai.so/
- https://www.linkedin.com/pulse/what-happened-over-week-cves-edition-brandefense-uib9e
- https://vuldb.com/vuln/353909
