В сфере искусственного интеллекта обнаружена серьёзная угроза, которая ставит под удар безопасность автоматизированных систем, построенных на популярных фреймворках. Речь идёт об уязвимости в MS-Agent - лёгком инструменте от ModelScope для создания и выполнения автономных ИИ-агентов. Эта проблема, получившая идентификатор CVE-2026-2256, представляет собой классическую инъекцию команд, однако её особенность и опасность заключаются в контексте использования. Удалённый злоумышленник может не просто нарушить работу агента, а получить полный контроль над операционной системой компьютера, на котором тот запущен. Это превращает безобидного автоматизированного помощника в мощный инструмент для кибератак, что особенно тревожно для бизнеса, внедряющего подобные технологии для оптимизации процессов.
Детали уязвимости
MS-Agent позволяет разработчикам создавать агентов, способных самостоятельно выполнять задачи, используя различные цифровые инструменты. Одной из встроенных возможностей является так называемый «Shell tool» (инструмент командной оболочки). Этот компонент наделяет ИИ-агента правом выполнять команды непосредственно в командной строке операционной системы хост-машины для достижения своих целей, будь то анализ данных или управление файлами. Именно эта функциональность, призванная расширить возможности агента, и стала источником критической уязвимости, когда контроль над входящими командами оказался недостаточным.
Исследователи из Университета Карнеги - Меллон детально изучили механизм работы уязвимости. Проблема коренится в недостатках метода "check_safe()", который фреймворк использует для проверки команд перед их отправкой в оболочку. Этот метод построен на принципе «чёрного списка» (denylist), то есть пытается блокировать выполнение, опираясь на список запрещённых слов или символов. Однако, как давно известно в сообществе информационной безопасности, такой подход крайне ненадёжен. Злоумышленники могут использовать технику «инъекции в промпт» (prompt injection), чтобы обмануть ИИ-агента. Скрыв вредоносные инструкции внутри безобидного на первый взгляд текста - например, в документе, который агента просят суммировать, или в фрагменте кода для анализа - атакующие легко обходят фильтр "check_safe()". «Чёрный список» можно обмануть, изменив написание команды, применив альтернативную кодировку или используя синонимичные конструкции, которые система не распознаёт как опасные.
В результате вредоносные команды беспрепятственно проходят проверку и исполняются инструментом командной оболочки от имени процесса MS-Agent. Это открывает путь к удалённому выполнению произвольных команд в операционной системе (Remote Code Execution). Уровень доступа злоумышленника будет равен привилегиям самого процесса агента. Если агент работает с повышенными правами, последствия становятся катастрофическими. Атакующий получает возможность модифицировать или удалять критически важные системные файлы, похищать конфиденциальные данные, к которым имеет доступ агент, устанавливать программы-вымогатели или бэкдоры для долгосрочного контроля, а также использовать скомпрометированную машину в качестве плацдарма для атак на другие системы в корпоративной сети.
На данный момент ситуация с устранением угрозы остаётся напряжённой. В процессе координации раскрытия уязвимости разработчик, компания ModelScope, не предоставил патч или официальное заявление с планом исправления. Отсутствие официального фикса означает, что вся ответственность за защиту ложится на организации, уже использующие или планирующие внедрять MS-Agent. Эксперты в области кибербезопасности настоятельно рекомендуют немедленно принять превентивные меры. В первую очередь, развёртывание фреймворка допустимо только в строго контролируемых изолированных средах, где весь входящий поток данных проходит тщательную проверку и может быть признан доверенным. Агенты, которым по функционалу необходимо выполнение shell-команд, должны запускаться в защищённых «песочницах» (sandbox) или с минимально необходимыми для работы привилегиями, следуя принципу наименьших прав.
Кроме того, разработчикам, создающим решения на базе MS-Agent, следует пересмотреть сам подход к фильтрации. Хрупкие и легко обходимые «чёрные списки» необходимо заменить на строгие «белые списки» (allowlist). Эта стратегия подразумевает, что система по умолчанию запрещает всё, кроме явно разрешённого. То есть, ИИ-агенту будет дозволено выполнять лишь заранее одобренный и ограниченный набор конкретных команд, что кардинально снижает поверхность для атаки. Внедрение таких мер требует дополнительных усилий, однако в условиях, когда автономные ИИ-агенты начинают взаимодействовать с реальными системами, безопасность должна быть приоритетом, заложенным в архитектуру решения, а не запоздалой реакцией на инцидент.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-2256
- https://www.hiddenlayer.com/research/indirect-prompt-injection-of-claude-computer-use
- https://github.com/Itamar-Yochpaz/CVE-2026-2256-PoC
- https://kb.cert.org/vuls/id/431821
