মাইক্রোসফটের গবেষকদের প্রকাশ্যে আনা হয়েছে যে, Anthropic-এর Claude Code GitHub Action-এ একটি ভালোভাবে মেরামত করা ভাইরাস ছিল। আক্রমণকারীরা GitHub-এর ইস্যু, পুল রিকোয়েস্ট বা মন্তব্যে ক্ষতিকারক নির্দেশাবলী লুকিয়ে রাখতে পারে, যা AI কোডিং এজেন্টকে CI/CD প্রক্রিয়ায় সংবেদনশীল তথ্য পড়তে এবং পাসওয়ার্ড বাইরে পাঠাতে উত্সাহিত করবে।
আক্রমণটি গিটহাব কন্টেন্ট ট্রিগার করে
মাইক্রোসফ্ট ব্লগে বলেছে, এই ধরনের ঝুঁকি এসেছে এআই এজেন্টগুলি যে বাহ্যিক টেক্সট কন্টেন্টগুলি সরাসরি ডেভেলপমেন্ট প্রক্রিয়ায় প্রক্রিয়া করে, এবং সংশ্লিষ্ট ওয়ার্কফ্লোগুলি সাধারণত API কী, ক্লাউড সার্ভিস যাচাইকরণ ইত্যাদি সংবেদনশীল ডেটা অ্যাক্সেস করে। যখন এজেন্টগুলি অবিশ্বস্ত ইনপুটকে এক্সিকিউটেবল নির্দেশনা হিসাবে বিবেচনা করে, তখন ঝুঁকি দ্রুত বৃদ্ধি পায়।
মাইক্রোসফ্টের পরীক্ষার পদ্ধতি অনুসরণ করে, গবেষকদের একটি গিটহাব ওয়ার্কফ্লো তৈরি করা হয়েছিল এবং দুষ্টু নির্দেশাবলীকে তাদের নিয়ন্ত্রিত ডোমেইনের প্রতিক্রিয়ায় লুকিয়ে রাখা হয়েছিল, যার মাধ্যমে ক্লাউডের কিছু সুরক্ষা প্রতিরোধকে পার হওয়া হয়েছিল। তারপর, Claude Code-কে প্ররোচিত করা হয়েছিল যাতে সংবেদনশীল যাচাইকরণ তথ্যযুক্ত ফাইলগুলি পড়ে এবং সেই যাচাইকরণ তথ্যগুলির বিষয়বস্তুকে পরিবর্তন করা হয়, যাতে এটি নিজের সুরক্ষা এবং গিটহাবের কী-স্ক্যানিং টুলগুলির থেকে এড়িয়ে যায়।
প্রমাণীকরণ বিভিন্ন চ্যানেলের মাধ্যমে বহির্মুখী হতে পারে
মাইক্রোসফট বলেছে যে আক্রমণকারীরা ইস্যু মন্তব্য, ওয়ার্কফ্লো লগ, ওয়েব অনুরোধ বা শেল কমান্ডের মতো বিভিন্ন উপায়ে এই তথ্যগুলি ফিরিয়ে আনতে পারে। গবেষকদের বিশেষভাবে লক্ষ্য ছিল যে লেখার অনুমতি না থাকা ব্যবহারকারীদেরও ওয়ার্কফ্লো ট্রিগার করতে দেওয়া হবে, যাতে পরিবেশ চলাচলের পরিষ্কার ব্যবস্থা সক্রিয় থাকলেও আক্রমণটি সম্ভব কিনা তা যাচাই করা যায়।
মাইক্রোসফ্ট বলেছে যে তারা এই গবেষণা শুরু করেছে কারণ আগে থেকেই বিভিন্ন সরবরাহকারী-সংশ্লিষ্ট পাবলিক রিপোজিটরিতে এই ধরনের প্রম্পট ইনজেকশনের চেষ্টা দেখা গিয়েছিল। এই ধরনের আক্রমণের সাধারণ বৈশিষ্ট্য হলো, আক্রমণকারীর নিয়ন্ত্রণাধীন issue বা পুল রিকোয়েস্টের কনটেন্টকে AI এজেন্ট পড়বে এবং এটি তার টুল কল আচরণকে আরও প্রভাবিত করবে।
অ্যানথ্রোপিক ৫ মার্চ মে মাসে সমাধান করেছে
Claude Code হল Anthropic দ্বারা গত বছর অক্টোবরে চালু করা একটি AI কোডিং এজেন্ট। এই টুলটি এই বছর মার্চে সোর্স কোডের অপ্রত্যাশিত প্রকাশের কারণে খ্যাতি লাভ করেছিল, যখন 50 লাখেরও বেশি লাইন প্রকাশিত হয় এবং গবেষকদের ও ডেভেলপারদের মধ্যে এর অভ্যন্তরীণ আর্কিটেকচারের ব্যাপক বিশ্লেষণ শুরু হয়।
মাইক্রোসফ্ট জানিয়েছে যে, ২৯ এপ্রিল তারিখে এই সমস্যাটি HackerOne-এর মাধ্যমে Anthropic-এর কাছে প্রকাশ করেছে। Anthropic পরবর্তীতে ৫ মে তারিখে Claude Code 2.1.128 সংস্করণ প্রকাশ করে এটি ঠিক করে।
মাইক্রোসফট মনে করে, এই কেসটি দেখায় যে AI এজেন্টগুলিকে সফটওয়্যার ডেভেলপমেন্ট প্রক্রিয়ায় যুক্ত করার সাথে সাথে প্রাকৃতিক ভাষার ইনপুটগুলি ক্রমাগত "নির্বাহযোগ্য কোড"-এর কাছাকাছি আসছে। এই পরিস্থিতিতে, GitHub issue, মন্তব্য ইত্যাদি বাহ্যিক কন্টেন্টগুলিকে ডিফল্টরূপে অবিশ্বস্ত ইনপুট হিসাবে বিবেচনা করা উচিত, নাহলে একটি সুনির্দিষ্টভাবে তৈরি করা তথ্যই উৎপাদন পরিবেশের যাচাইকরণ তথ্য অর্জনের পথ হয়ে দাঁড়াতে পারে।