Microsoft ha revelado — y Anthropic ha corregido desde entonces — una vulnerabilidad grave de inyección de indicaciones en la GitHub Action de Claude Code que podría haber permitido a atacantes extraer credenciales sensibles de pipelines de CI/CD. El problema, revelado por Microsoft en una publicación de blog el viernes y reportado a Anthropic a través de HackerOne el 29 de abril, destaca un riesgo creciente para cualquier proyecto que utilice agentes de IA dentro de flujos de desarrollo, incluyendo equipos de cripto que almacenan claves de API, credenciales en la nube o secretos de despliegue en esos pipelines. Lo que sucedió: - Los investigadores de Microsoft descubrieron que podían ocultar instrucciones maliciosas dentro de contenido controlado por atacantes en GitHub (issues, pull requests o comentarios) para que Claude Code procesara el contenido y actuara sobre él. - En una prueba de concepto, los investigadores alojaron una carga útil en un dominio que controlaban, utilizaron ese contenido para engañar a Claude y hacer que leyera y transformara archivos que contenían secretos, luego reconstruyeron y exfiltraron credenciales mediante comentarios de issues, registros de workflows, solicitudes web o comandos shell. - Microsoft señaló específicamente que eludieron las capas de seguridad de Anthropic ocultando la carga útil shell detrás de respuestas de su dominio y activando el workflow desde usuarios sin permisos de escritura, asegurando que los limpiadores de variables de entorno estuvieran activos durante las pruebas. Por qué importa a los proyectos de cripto: Los entornos CI/CD suelen contener secretos de alto valor: claves de API para exchanges, credenciales en la nube para nodos o indexadores, claves de despliegue para contratos inteligentes, lo que los convierte en objetivos atractivos. Los ataques de inyección de indicaciones como este permiten a un atacante convertir entradas en lenguaje natural (por ejemplo, una descripción de pull request) en instrucciones ejecutables para un agente de IA, potencialmente brindándoles acceso a credenciales de producción sin comprometer directamente el código o los sistemas. Contexto y corrección: Claude Code, el asistente de codificación de Anthropic lanzado en octubre, fue sometido a mayor escrutinio a principios de este año tras Anthropic expusiera accidentalmente más de 500.000 líneas de su código fuente en marzo. Tras la divulgación de Microsoft, Anthropic corrigió la GitHub Action el 5 de mayo con la versión 2.1.128 de Claude Code. La conclusión de Microsoft: los flujos de trabajo con IA borran la frontera entre texto y comportamiento ejecutable, por lo que las entradas no confiables deben tratarse como “hostiles por defecto”. La empresa advirtió que, a pesar de múltiples defensas, un atacante decidido aún podría engañar a un agente para que revele secretos: “basta con un solo comentario cuidadosamente diseñado combinado con un límite de confianza mal entendido para obtener credenciales de producción”. Pasos prácticos (nivel alto): Aunque Anthropic ha corregido esta vulnerabilidad específica, los equipos deben tratar los flujos de trabajo CI/CD habilitados con IA como de alto riesgo: restringir quién puede activar workflows, minimizar los secretos disponibles para las compilaciones, habilitar escaneo riguroso de secretos, rotar credenciales expuestas a CI y asumir que cualquier contenido de repositorio no confiable podría ser malicioso. Este incidente es un recordatorio para desarrolladores y equipos de infraestructura de cripto para auditar agresivamente la automatización asistida por IA: la conveniencia de los agentes en lenguaje natural puede abrir nuevas superficies de ataque si no se aplican estrictamente los límites de confianza.
Vulnerabilidad de inyección de prompt en la GitHub Action de Claude Code expone secretos de CI/CD
ChainGPTCompartir
Resumen
Microsoft reveló una vulnerabilidad de inyección de indicaciones en la GitHub Action de Claude Code de Anthropic, que podría haber expuesto secretos de CI/CD como claves de API y credenciales de nube. La vulnerabilidad, corregida el 5 de mayo, permitía que entradas maliciosas actuaran como comandos ejecutables. La empresa destacó los riesgos bajo MiCA, señalando que los proyectos de criptomoneda son especialmente vulnerables, ya que los sistemas CI/CD suelen contener secretos de alto valor. Microsoft advirtió que los flujos de trabajo de IA pueden difuminar la línea entre texto y código, y urgió a los equipos a aplicar un escrutinio de nivel CFT a entradas no confiables y establecer límites de confianza estrictos.
Fuente:Mostrar original
Descargo de responsabilidad: La información contenida en esta página puede proceder de terceros y no refleja necesariamente los puntos de vista u opiniones de KuCoin. Este contenido se proporciona solo con fines informativos generales, sin ninguna representación o garantía de ningún tipo, y tampoco debe interpretarse como asesoramiento financiero o de inversión. KuCoin no es responsable de ningún error u omisión, ni de ningún resultado derivado del uso de esta información.
Las inversiones en activos digitales pueden ser arriesgadas. Evalúa con cuidado los riesgos de un producto y tu tolerancia al riesgo en función de tus propias circunstancias financieras. Para más información, consulta nuestras Condiciones de uso y la Declaración de riesgos.