माइक्रोसॉफ्ट के शोधकर्ताओं ने खुलासा किया कि Anthropic के Claude Code GitHub Action में पहले एक वैलिडेटेड दरार थी। हमलावर GitHub के इशू, पुल रिक्वेस्ट या टिप्पणियों में दुर्भावनापूर्ण निर्देश छिपा सकते थे, जिससे AI कोडिंग एजेंट CI/CD प्रक्रिया में संवेदनशील जानकारी पढ़ने और पासवर्ड बाहर भेजने के लिए प्रेरित होता।
हमला GitHub कंटेंट का उपयोग करके ट्रिगर होता है
माइक्रोसॉफ्ट ने अपने ब्लॉग में कहा कि इस प्रकार के जोखिम एआई एजेंट्स से आते हैं, जो विकास प्रक्रिया में बाहरी टेक्स्ट कंटेंट को सीधे प्रोसेस करते हैं, और संबंधित वर्कफ्लो आमतौर पर API कुंजियों, क्लाउड सर्विस क्रेडेंशियल्स आदि संवेदनशील डेटा तक पहुंच सकते हैं। जब एजेंट अविश्वसनीय इनपुट को निष्पादनयोग्य निर्देश के रूप में मान लेता है, तो जोखिम तेजी से बढ़ जाता है।
माइक्रोसॉफ्ट के परीक्षण तरीके के अनुसार, शोधकर्ताओं ने एक GitHub वर्कफ्लो सेटअप किया और अपने नियंत्रित डोमेन द्वारा लौटाए गए सामग्री में दुर्भावनापूर्ण निर्देशों को छिपाया, ताकि Claude की कुछ सुरक्षा सुरक्षाओं को चकमा दिया जा सके। इसके बाद, Claude Code को ऐसे संवेदनशील पारित्रों वाली फ़ाइलों को पढ़ने के लिए प्रेरित किया गया, और पारित्रों की सामग्री को संशोधित किया गया, ताकि अपनी सुरक्षा और GitHub के कुंजी स्कैनर टूल से बचा जा सके।
प्रमाणपत्र विभिन्न चैनलों के माध्यम से बाहर भेजे जा सकते हैं
माइक्रोसॉफ्ट के अनुसार, हमलावर इन जानकारियों को विभिन्न तरीकों से प्राप्त कर सकते हैं, जिनमें इशू टिप्पणियाँ, वर्कफ्लो लॉग, वेब अनुरोध या शेल आदेश शामिल हैं। शोधकर्ताओं ने विशेष रूप से ऐसे उपयोगकर्ताओं को वर्कफ्लो ट्रिगर करने की अनुमति दी, जिनके पास लिखने का अधिकार नहीं है, ताकि यह सत्यापित किया जा सके कि पर्यावरण चर साफ करने के उपाय सक्रिय होने पर भी हमला संभव है या नहीं।
माइक्रोसॉफ्ट ने कहा कि उन्होंने इस अध्ययन को इसलिए शुरू किया क्योंकि पिछले समय में उन्होंने कई विक्रेता-संबंधित खुले भंडारों में इसी तरह के प्रॉम्प्ट इंजेक्शन प्रयासों को देखा है। इस प्रकार के हमलों की सामान्य बात यह है कि हमलावर द्वारा नियंत्रित issue या पुल रिक्वेस्ट कंटेंट को AI एजेंट पढ़ लेता है, और इससे इसके टूल कॉल व्यवहार पर प्रभाव पड़ता है।
Anthropic ने मई में ठीक कर दिया है
Claude Code एंथ्रोपिक द्वारा पिछले अक्टूबर में लॉन्च किया गया एक AI कोडिंग एजेंट है। इस टूल को मार्च 2024 में भी ध्यान आकर्षित किया, जब लगभग 50 लाख पंक्तियों का स्रोत कोड अनधिकृत रूप से लीक हो गया, जिससे शोधकर्ताओं और डेवलपर्स ने इसकी आंतरिक संरचना का व्यापक विश्लेषण किया।
माइक्रोसॉफ्ट ने कहा कि उसने 29 अप्रैल को HackerOne के माध्यम से Anthropic को इस समस्या की जानकारी दे दी। Anthropic ने बाद में 5 मई को Claude Code 2.1.128 संस्करण जारी करके इसकी मरम्मत कर ली।
माइक्रोसॉफ्ट का मानना है कि यह मामला दर्शाता है कि जैसे-जैसे AI एजेंट्स को सॉफ्टवेयर विकास प्रक्रिया में जोड़ा जा रहा है, नेचुरल लैंग्वेज इनपुट लगातार "एक्जीक्यूटेबल कोड" के करीब पहुँच रहा है। इस स्थिति में, GitHub issue, कमेंट्स आदि बाहरी सामग्री को डिफ़ॉल्ट रूप से अविश्वसनीय इनपुट माना जाना चाहिए, अन्यथा एक अच्छी तरह से निर्मित सूचना उत्पादन पर्यावरण के पासवर्ड प्राप्त करने का मार्ग बन सकती है।