Des chercheurs de Microsoft ont révélé qu'une vulnérabilité, désormais corrigée, existait précédemment dans l'GitHub Action Claude Code d'Anthropic. Les attaquants pouvaient cacher des instructions malveillantes dans les issues, les pull requests ou les commentaires de GitHub, incitant ainsi l'agent de codage IA à lire des informations sensibles dans le cadre du processus CI/CD et à les exfiltrer.
L'attaque exploite le contenu de GitHub
Microsoft indique dans son blog que ce type de risque provient du fait que les agents IA traitent directement le contenu textuel externe dans le processus de développement, et que ces flux de travail accèdent généralement à des données sensibles telles que des clés API et des identifiants de services cloud. Le risque s'amplifie rapidement dès qu'un agent traite une entrée non fiable comme une instruction exécutable.
Selon la méthode de test de Microsoft, les chercheurs ont mis en place un workflow GitHub et ont masqué des instructions malveillantes dans le contenu renvoyé par leur domaine contrôlé, contournant ainsi certaines protections de Claude. Ensuite, Claude Code a été induit en erreur pour lire un fichier contenant des informations d'identification sensibles et modifier le contenu de ces informations afin d'éviter ses propres mécanismes de protection et les outils de balayage de clés de GitHub.
Les identifiants peuvent être divulgués via plusieurs canaux.
Microsoft indique que les attaquants pourraient théoriquement récupérer ces informations par plusieurs moyens, notamment via des commentaires sur les problèmes, des journaux de workflows, des requêtes web ou des commandes shell. Les chercheurs ont également délibérément permis à des utilisateurs sans autorisation d'écriture de déclencher un workflow, afin de vérifier si l'attaque reste possible même lorsque les mesures de nettoyage des variables d'environnement sont activées.
Microsoft indique qu'ils ont mené cette étude parce qu'ils avaient précédemment observé des tentatives similaires d'injection de prompts dans plusieurs dépôts publics liés à des fournisseurs. Le point commun de ces attaques est que le contenu des problèmes ou demandes d'extraction contrôlé par l'attaquant est lu par un agent IA, ce qui influence ensuite son comportement d'appel d'outils.
Anthropic a corrigé en mai
Claude Code est un agent d'IA de codage lancé par Anthropic en octobre de l'année dernière. L'outil a attiré l'attention en mars de cette année en raison d'une fuite accidentelle de code source, qui a exposé plus de 500 000 lignes et déclenché une analyse approfondie de sa structure interne par des chercheurs et développeurs.
Microsoft a signalé ce problème à Anthropic via HackerOne le 29 avril. Anthropic a ensuite corrigé le problème avec la version 2.1.128 de Claude Code, publiée le 5 mai.
Microsoft estime que ce cas illustre que, à mesure que les agents IA sont intégrés au processus de développement logiciel, les entrées en langage naturel deviennent de plus en plus proches du code exécutable. Dans ce contexte, les contenus externes tels que les GitHub issues et les commentaires doivent être considérés par défaut comme des entrées non fiables, car un seul message soigneusement conçu pourrait servir de point d'entrée pour obtenir des identifiants d'environnement de production.