Claude खुद npm पैकेज इंस्टॉल करता है, और गलत पैकेज आपकी फाइलें चुरा सकता है

Claude का Computer Use फीचर वह कर सकता है जो एक सामान्य चैटबॉट नहीं कर सकता। यह आपके कंप्यूटर पर एक टर्मिनल खोलता है और आपकी ओर से सॉफ्टवेयर इंस्टॉल करता है, जिसमें दुनिया के सबसे बड़े ओपन-सोर्स रजिस्ट्री npm से सीधे खींचे गए पैकेज भी शामिल हैं। आकर्षण साफ है, क्योंकि यह «मेरे लिए यह प्रोजेक्ट तैयार कर दो» को एक ही वाक्य में समेट देता है। जोखिम भी उसी वाक्य में है, क्योंकि जिस क्षण कोई पैकेज आता है, npm वह स्टार्टअप कोड चला सकता है जो पैकेज अपने साथ लाया, और अब घोड़ा दबाने वाला एक स्वायत्त एजेंट है।

जो भी किसी AI एजेंट को कोड लिखने या चलाने देता है, और यह डेवलपरों, शौकीनों और बिना तकनीकी पृष्ठभूमि वाले जिज्ञासुओं का तेज़ी से बढ़ता समूह है, उसके लिए व्यावहारिक सवाल सीधा है। अगर Claude कोई ऐसा पैकेज इंस्टॉल करता है जिसे आपने कभी देखा ही नहीं, और वह पैकेज इसीलिए बनाया गया था कि गिरते ही आपकी फाइलें नकल कर ले, तो उसे रोकने वाला कौन था? एक सुरक्षा शोधकर्ता का हालिया वीडियो ठीक यही स्थिति दिखाता है: एक फँसाने वाला पैकेज एक रूटीन इंस्टॉल के दौरान स्थानीय फाइलें पढ़ रहा है, और AI उसे बिना झिझके पूरा कर रहा है।

यह तरीका नया नहीं है, और यही बात इसे गंभीर बनाती है। npm पैकेजों को इंस्टॉल स्क्रिप्ट घोषित करने की छूट है, छोटी हिदायतें जो किसी पैकेज के प्रोजेक्ट में जुड़ते ही अपने आप चल जाती हैं, इससे पहले कि उसकी एक भी पंक्ति जानबूझकर इस्तेमाल हो। यह एक दर्ज किया हुआ बर्ताव है, कोई खामी नहीं। यह वैध औज़ारों को खुद को कंपाइल करने या अपना माहौल तैयार करने देता है। इसका यह भी मतलब है कि कोई भी पैकेज इंस्टॉल के समय आपकी मशीन पर कोड चला सकता है, उन्हीं अधिकारों के साथ जो आपके पास हैं, और सुरक्षा टीमें इसकी चेतावनी सालों से देती आ रही हैं।

अनुशंसित पठनSony के 1,499 € वाले Xperia 1 VIII में अब भी हेडफोन जैक मौजूद

दुनिया को दांव का तीखा अहसास तब हुआ जब हमलावरों ने Axios के मेंटेनर खाते पर कब्ज़ा किया, एक नेटवर्क लाइब्रेरी जो हफ्ते में करोड़ों बार डाउनलोड होती है, और उसमें एक दुर्भावनापूर्ण निर्भरता घुसा दी जो डेवलपरों की मशीनों पर रिमोट-एक्सेस ट्रोजन इंस्टॉल कर देती थी। उन्होंने असली Axios कोड को छुआ तक नहीं। काम इंस्टॉल स्क्रिप्ट ने किया। Axios संयोग से खुद Claude Code के भीतर एक ईंट है, अनगिनत दूसरे ऐप्लिकेशनों के साथ, जो दिखाता है कि जिस औज़ार पर आप भरोसा करते हैं और जो कोड वह चुपचाप अपने पीछे खींच लाता है, उनके बीच फासला कितना कम है।

प्रदर्शन इस जानी-पहचानी तस्वीर में जो जोड़ता है, वह है एजेंट। इंस्टॉल चलाने वाला इंसान कम से कम रुक सकता है, पैकेज का नाम पढ़ सकता है, ताड़ सकता है कि वह गलत लिखा है या अभी-अभी प्रकाशित हुआ है, और पीछे हट सकता है। किसी ढीली हिदायत पर काम करते AI एजेंट के पास ऐसा कोई प्रतिवर्त नहीं होता। वह वही इंस्टॉल करता है जो उसे ज़रूरी लगता है। और चूँकि Computer Use स्क्रीन भी पढ़ता है, कर्सर हिलाता है और टाइप करता है, एक ज़हरीली निर्भरता कोड एडिटर के भीतर कैद नहीं रहती। उसे पूरे डेस्कटॉप की खुली छूट मिल जाती है।

यह साफ कर लेना उचित है कि यह क्या है और क्या नहीं। यह सिर्फ Claude में मौजूद कोई छिपा पिछला दरवाज़ा नहीं है, न ही इस बात का सबूत कि मॉडल को बहलाकर उसके अपने नियम तुड़वाए गए। यह किसी भी स्वायत्त प्रोग्राम को सॉफ्टवेयर इंस्टॉल करने की ताकत देने का अनुमानित नतीजा है, उस रजिस्ट्री के साथ मिलकर जो एक दशक से ज़्यादा से डिफ़ॉल्ट रूप में इंस्टॉल कोड चलाती आई है। Claude की जगह वही अधिकार रखने वाला कोई और कोडिंग एजेंट रख दीजिए, तस्वीर वही रहेगी। खतरा स्वायत्तता और रजिस्ट्री में बसता है, किसी एक कंपनी के चैटबॉट में नहीं।

Anthropic ने तो उल्टी दिशा में काम किया है। कंपनी ने हाल ही में अपने कोडिंग औज़ारों के लिए एक सैंडबॉक्स जारी किया जो एजेंट को बाकी सिस्टम से अलग कर देता है, सीमित करता है कि वह कौन-सी फाइलें पढ़ सकता है और किन सर्वरों तक पहुँच सकता है, और इसके पीछे का आइसोलेशन टूलकिट दूसरे डेवलपरों के लिए ओपन सोर्स में जारी किया। तर्क वही है जो प्रदर्शन उघाड़ता है। जो एजेंट आपकी SSH कुंजियों तक नहीं पहुँच सकता, वह उन्हें लीक नहीं कर सकता, और जो एजेंट किसी अनजान सर्वर से संपर्क नहीं कर सकता, वह आपकी फाइलें कहीं नहीं भेज सकता। कंपनी का कहना है कि ये सीमाएँ उपयोगकर्ताओं को दिखाई जाने वाली अनुमति-मांगों को करीब 84 प्रतिशत तक घटा देती हैं, जो मायने रखता है क्योंकि हर बात पर पूछने वाला औज़ार लोगों को जल्दी ही हाँ दबाना सिखा देता है।

जो लोग वाकई इन औज़ारों का इस्तेमाल करते हैं, उनके लिए बचाव उबाऊ और कारगर हैं। एजेंट को किसी सैंडबॉक्स, कंटेनर या इस्तेमाल-करके-फेंकने वाली वर्चुअल मशीन के भीतर चलाइए, ताकि किसी बुरे पैकेज की पहुँच में आने वाली सबसे बुरी चीज़ एक त्यागने लायक माहौल हो। जहाँ कार्यप्रवाह इजाज़त दे, वहाँ अपने-आप चलने वाली इंस्टॉल स्क्रिप्ट बंद कर दीजिए, जो कुछ नए पैकेज मैनेजर अब डिफ़ॉल्ट रूप में करते हैं। पासवर्ड, कुंजियाँ और निजी फाइलें उस मशीन से दूर रखिए जहाँ एजेंट को खुली छूट है। और «यह मेरे लिए इंस्टॉल कर दो» को उसी सावधानी से लीजिए जो आप «ईमेल का यह अटैचमेंट खोलो» को देते, क्योंकि भीतर से यह उसी के ज़्यादा करीब है।

प्रदर्शन का वह खास पैकेज एक शोधकर्ता का सबूत है, कोई असली प्रकोप नहीं, और इसका कोई संकेत नहीं कि वह सच्चे उपयोगकर्ताओं तक पहुँचा। जो टिकेगा नहीं, वह इसके पीछे का ढर्रा है। एजेंट-आधारित कोडिंग उन आदतों से तेज़ रफ्तार में डिफ़ॉल्ट बनती जा रही है जिन्हें इसे सुरक्षित रखना था, और जिन रजिस्ट्रियों पर ये एजेंट टिके हैं वे कभी ऐसी दुनिया के लिए नहीं बनी थीं जहाँ इंस्टॉल का आदेश टाइप करने वाला कोई इंसान न हो। जब तक यह खाई नहीं भरती, सॉफ्टवेयर सुरक्षा का सबसे पुराना नियम अब एक नई तरह के उपयोगकर्ता की ओर इशारा करता है: आपका एजेंट जो इंस्टॉल करे, वही चलाता है, इसलिए उसे शुरू होने देने से पहले तय कीजिए कि वह किस-किस को छू सकता है।

इस तरह की और सामग्री

Pixel Maniacs और PM Studios ने रंगों पर आधारित पज़ल गेम ChromaGun 2: Dye Hard की घोषणा की

Perplexity का $200 प्रति माह Mac एजेंट आया: ईमेल पढ़ेगा, फ़ाइलें संभालेगा

StoneHold की घोषणा: एक्शन MOBA और कार्ड गेम का एक हाइब्रिड

गूगल का जेमिनी स्पार्क लैपटॉप बंद होने पर भी काम करता रहता है — पेड बीटा 26 मई वाले हफ़्ते में

OnlyFans के 34 करोड़ रिकॉर्ड बिक्री पर, मगर सेंध किसी ने नहीं लगाई

मोटोरोला का Razr Ultra महज़ 8 मिनट में पूरे दिन की बैटरी चार्ज करता है — कीमत 1,499 डॉलर