Ipinakita ng mga siyentipiko ng Microsoft na mayroong isang vulnerability na naayos na sa GitHub Action ng Claude Code ng Anthropic. Maaaring itago ng mga hacker ang masasamang utos sa mga issue, pull request, o komento sa GitHub upang pilitin ang AI code agent na basahin ang sensitibong impormasyon sa loob ng CI/CD workflow at i-export ang mga credential.
Ang pag-atake ay gumagamit ng nilalaman sa GitHub upang mag-trigger
Sinabi ng Microsoft sa kanilang blog na ang mga panganib na ito ay nagmumula sa pagkakaroon ng direkta ng mga AI agent sa pagtratado ng panlabas na teksto sa proseso ng pag-unlad, at karaniwang may access ang mga workflow na ito sa mga sensitibong data tulad ng API keys at cloud service credentials. Kapag ginagamit ng agent ang hindi kapani-paniwala input bilang executable command, agad na lalaki ang panganib.
Ayon sa paraan ng pagsubok ng Microsoft, ang mga siyentipiko ay nagtatag ng isang GitHub workflow at nilikha ang masamang utos sa loob ng nilalaman na ibinabalik ng kanilang kinontrol na domain upang i-bypass ang ilang seguridad ng Claude. Pagkatapos, hinikayat ang Claude Code na basahin ang isang file na naglalaman ng sensitibong credentials at binago ang nilalaman ng mga credential upang maiwasan ang sarili nitong seguridad at ang mga tool sa pag-scan ng key ng GitHub.
Ang mga lisensya ay maaaring maibahagi sa iba’t ibang mga channel
Sinabi ng Microsoft na maaaring makuha ng mga attacker ang mga impormasyong ito sa pamamagitan ng iba’t ibang paraan, kabilang ang mga komento sa issue, mga log ng workflow, mga web request, o shell commands. Ang mga researcher ay naglalayon ring bigyan ng kakayahan ang mga user na walang write access upang i-trigger ang workflow, upang patunayan kung patuloy pa ring posible ang pag-atake habang naka-enable ang mga pagsisiguro sa paglinis ng environment variables.
Sinabi ng Microsoft na nag-isip sila ng pag-aaral na ito dahil sa kanilang nakita na mga katulad na pagsubok sa prompt injection sa mga publikong repository na may kaugnayan sa iba't ibang supplier. Ang karaniwang katangian ng mga pag-atake na ito ay ang nilalaman ng issue o pull request na kontrolado ng mga attacker ay binabasa ng AI agent, na nagdudulot ng karagdagang epekto sa kanilang pagtawag sa mga kasangkapan.
Nilinaw na ng Anthropic noong Mayo
Ang Claude Code ay isang AI code agent na inilunsad ng Anthropic noong Oktubre ng nakaraang taon. Ang kasangkapan ay nakakuha ng pansin noong Marso ng taong ito dahil sa hindi inaasahang pagleak ng source code, kung saan lumabas ang higit sa 500,000 na linya, na nagdulot ng malawakang pagsusuri mula sa mga mananaliksik at developer tungkol sa loob na arkitektura nito.
Sinabi ng Microsoft na ipinahayag na ang problema sa Anthropic sa pamamagitan ng HackerOne noong Abril 29. Sinunod ng Anthropic sa pamamagitan ng paglalabas ng version 2.1.128 ng Claude Code noong Mayo 5 upang i-remedyo ito.
Naniniwala ang Microsoft na ang kaso na ito ay nagpapakita na habang ang AI agents ay konektado sa proseso ng pagbuo ng software, ang natural language input ay patuloy na nagiging mas malapit sa "executable code". Sa ganitong sitwasyon, kailangang ituring ang mga external content tulad ng GitHub issue at komento bilang hindi tiwalaan, dahil ang isang mag-isang maingat na nilikhang impormasyon ay maaaring maging daan upang makakuha ng mga credential sa production environment.