Il team di sicurezza 0DIN di Mozilla ha dimostrato che un repository GitHub completamente pulito, privo di qualsiasi riga di codice malevolo, pu� comunque indurre un agente di coding basato su intelligenza artificiale a installare una reverse shell sul computer dello sviluppatore. Il bersaglio principale della dimostrazione � Claude Code di Anthropic, ma i ricercatori sostengono che lo stesso schema funzioni anche con Cursor, GitHub Copilot e Gemini CLI.

La particolarit� dell'attacco sta proprio nell'assenza di elementi sospetti da individuare. Il repository contiene solo pochi file di scaffolding, nessuno dei quali farebbe scattare un controllo di sicurezza, n� remoto, n� locale, n� quelli integrati nell'agente stesso. A renderlo efficace � la combinazione di tre passaggi, ciascuno innocuo se osservato isolatamente.

Tre passaggi innocui, un risultato pericoloso

Il primo file che l'agente AI elabora � un README che descrive come inizializzare un ambiente Python utilizzando Axiom, presentato come un comune strumento di monitoraggio. Il secondo elemento � uno script di avvio fittizio di Axiom, programmato per restituire un errore alla prima esecuzione. Per essere utile e risolvere il problema, l'agente esegue allora un comando altrettanto innocuo all'apparenza, "python3 -m axiom init", proprio come suggerito dal contesto.