Claude installerar npm-paket själv, och fel paket kan ta dina filer

Claudes funktion Computer Use kan något en vanlig chatbot inte kan. Den öppnar en terminal på din dator och installerar programvara åt dig, inklusive paket som hämtas direkt från npm, världens största register för öppen källkod. Lockelsen är uppenbar, eftersom den krymper «sätt upp det här projektet åt mig» till en enda mening. Risken ligger i samma mening, för i samma stund ett paket landar kan npm köra den startkod paketet bar med sig, och nu är det en autonom agent som trycker av.

För alla som låter en AI-agent skriva eller köra kod, och det är en snabbt växande grupp utvecklare, hobbyister och nyfikna utan teknisk bakgrund, är den praktiska frågan rakt på sak. Om Claude installerar ett paket du aldrig tittat på, och det paketet byggdes för att kopiera dina filer i samma stund det landar, vem skulle ha hejdat det? En färsk video från en säkerhetsforskare går igenom precis den situationen och visar ett riggat paket som läser lokala filer under en rutinmässig installation som AI:n genomför utan att tveka.

Mekanismen är inte ny, och det är just det som gör den allvarlig. npm-paket får deklarera installationsskript, små instruktioner som körs automatiskt så fort ett paket läggs till i ett projekt, innan en enda rad av det avsiktligt används. Det är ett dokumenterat beteende, inte ett fel. Det låter legitima verktyg kompilera sig själva eller förbereda sin miljö. Det betyder också att vilket paket som helst kan köra kod på din maskin vid installationen, med samma rättigheter som du har, och säkerhetsteam har varnat för det i åratal.

Världen fick en skarp påminnelse om vad som står på spel när angripare tog över underhållarkontot bakom Axios, ett nätverksbibliotek som laddas ner tiotals miljoner gånger i veckan, och smög in ett skadligt beroende som installerade en fjärråtkomsttrojan på utvecklarnas maskiner. De rörde aldrig den riktiga Axios-koden. Installationsskriptet gjorde jobbet. Axios råkar vara en byggsten i själva Claude Code, vid sidan av otaliga andra program, vilket visar hur kort avståndet är mellan verktyget du litar på och koden det tyst drar med sig.

Det demonstrationen lägger till den välbekanta bilden är agenten. En människa som startar en installation kan åtminstone stanna upp, läsa paketnamnet, märka att det är felstavat eller nyss publicerat, och backa. En AI-agent som agerar på en lös instruktion har ingen sådan reflex. Den installerar det den bestämmer sig för att den behöver. Och eftersom Computer Use också läser skärmen, flyttar markören och skriver, stannar inte ett förgiftat beroende kvar inne i kodredigeraren. Det har fritt spelrum över hela skrivbordet.

Det är värt att vara exakt med vad det här är och inte är. Det är ingen dold bakdörr som är unik för Claude, och inget bevis för att modellen lurats att kringgå sina egna regler. Det är det förutsägbara resultatet av att ge vilket autonomt program som helst makten att installera programvara, i kombination med ett register som kört installationskod som standard i över ett decennium. Byt ut Claude mot vilken annan kodagent som helst med samma rättigheter och bilden är identisk. Faran bor i autonomin och i registret, inte i ett företags chatbot.

Anthropic drar snarare åt motsatt håll. Företaget levererade nyligen en sandlåda för sina kodverktyg som stänger ute agenten från resten av systemet, begränsar vilka filer den får läsa och vilka servrar den kan nå, och släppte den underliggande isoleringsverktygslådan som öppen källkod för andra utvecklare. Tankegången är den demon blottlägger. En agent som inte når dina SSH-nycklar kan inte läcka dem, och en agent som inte kan kontakta en okänd server kan inte skicka dina filer någonstans. Företaget säger att de gränserna skär ner antalet behörighetsförfrågningar den visar användarna med ungefär 84 procent, vilket spelar roll eftersom ett verktyg som frågar om allt snabbt lär folk att klicka ja.

För dem som faktiskt använder verktygen är försvaren tråkiga och effektiva. Kör agenten i en sandlåda, en container eller en slit-och-släng virtuell maskin, så att det värsta ett dåligt paket kan nå är en miljö du kan offra. Stäng av automatiska installationsskript där arbetsflödet tillåter det, något några nyare pakethanterare redan gör som standard. Håll inloggningsuppgifter, nycklar och personliga filer borta från maskinen där en agent har fria händer. Och behandla «installera det här åt mig» med samma försiktighet som «öppna den här mejlbilagan», för under ytan ligger det närmare det än det känns.

Det specifika paketet i demonstrationen är en forskares bevis, inte ett verkligt utbrott, och inget tyder på att det nådde riktiga användare. Mönstret bakom det är den del som inte kommer att stå still. Agentdriven kodning blir standard snabbare än vanorna som ska hålla den säker, och registren dessa agenter lutar sig mot byggdes aldrig för en värld där den som skriver installationskommandot inte är en människa. Tills den klyftan sluts pekar den äldsta regeln inom mjukvarusäkerhet nu mot en ny sorts användare: det din agent installerar, det kör den, så bestäm vad den får röra innan du låter den börja.