Claude Code GitHub Action में प्रॉम्प्ट-इंजेक्शन दोष CI/CD सीक्रेट्स को उजागर करता है

माइक्रोसॉफ्ट ने खुलासा किया है — और एंथ्रोपिक ने बाद में इसे ठीक कर दिया है — क्लॉड कोड के गिटहब एक्शन में एक गंभीर प्रॉम्प्ट-इंजेक्शन दोष जिससे हमलावर CI/CD पाइपलाइन से संवेदनशील पारित्रों को निकाल सकते थे। इस मुद्दे का खुलासा माइक्रोसॉफ्ट ने शुक्रवार को एक ब्लॉग पोस्ट में किया और 29 अप्रैल को हैकरवन के माध्यम से एंथ्रोपिक को सूचित किया, जिससे विकास प्रवाह में AI एजेंट्स का उपयोग करने वाले किसी भी प्रोजेक्ट के लिए बढ़ते खतरे की ओर संकेत मिलता है — जिसमें एक्सचेंज की API कुंजियाँ, नोड या इंडेक्सर के लिए क्लाउड पारित्र, या स्मार्ट कॉन्ट्रैक्ट के लिए डिप्लॉयमेंट सीक्रेट्स पाइपलाइन में संग्रहित होते हैं। क्या हुआ - माइक्रोसॉफ्ट के शोधकर्ताओं ने पाया कि वे हमलावर-नियंत्रित गिटहब कंटेंट (इशू, पुल रिक्वेस्ट या टिप्पणियाँ) में दुरुपयोगपूर्ण निर्देश छुपा सकते हैं, ताकि क्लॉड कोड उस सामग्री को प्रसंस्कृत करे और उस पर कार्रवाई करे। - एक प्रूफ-ऑफ-कॉन्सेप्ट में, शोधकर्ताओं ने अपने नियंत्रण में एक डोमेन पर पेलोड होस्ट किया, उस सामग्री का उपयोग करके क्लॉड को सीक्रेट्स सहित फ़ाइलों को पढ़ने और परिवर्तित करने के लिए धोखा दिया, और потім पारित्रों को इशू कमेंट्स, वर्कफ़्लो लॉग, वेब अनुरोध या शेल कमांड्स के माध्यम से पुनः संरचित करके बाहर निकाला। - माइक्रोसॉफ्ट ने विशेष रूप से संकेत दिया कि उन्होंने अपने डोमेन से प्रतिक्रियाओं के पीछे शेल पेलोड को छुपाकर और लिखने कीअनुमति वाले प्रयोक्ताओं से पहले ही वर्कफ़्लो को ट्रिगर करके, एंथ्रोपिक की सुरक्षा परतों को पार कर लिया, सुनिश्चित करते हुए कि परीक्षण के दौरान पर्यावरण-चर-स्क्रबर सक्रिय हों। क्रिप्टो प्रोजेक्ट्स के लिए इसका महत्व CI/CD पर्यावरण में प्रायः महत्वपूर्ण सीक्रेट्स होते हैं — एक्सचेंज की API कुंजियाँ, नोड yaइंडेक्सर के लिए क्लाउड पारित्र, स्मार्ट कॉन्ट्रैक्ट के लिए डिप्लॉयमेंट कुंजियाँ — जो इन्हेंआकर्षक लक्ष्य बनाती हैं। प्रॉम्प्ट-इंजेक्शन हमलों, जैसा कि यह है, हमलावर को प्राकृतिक-भाषा प्रवेश (उदाहरण: पुल-अनुरोध-विवरण) को AIएजेंट के लिए संचलनीयनिर्देश में परिवर्तित करने कीअनुमति देता है, संभवतःबिना सीधे कोड yaप्रणालीयों को संक्रमित किए,उत्पादन पारित्रोंतक पहुँच प्रदानकरता है। संदर्भ aurउपचार अक्टूबर में पेश किएगएएंथ्रोपिकके कोडिंगअसिस्टेंट,क्लॉडकोड,परइससालशुरूमेंअतिरिक्तनज़रबख़्शीहुईजबएंथ्रोपिकनेमार्चमेंअपनीस्रोतकोडकी500,000लाइनेंअनजानेमेंप्रकटकरदी।माइक्रोसॉफ़्टकीखुलासेकेबाद,एंथ्रोपिकनेमई5कोक्लॉडकोड2.1.128के साथगिटहबएक्शनकोठीककरदिया। माइक्रोसॉफ़्टकीसीख:AIप्रवाहटेक्सटऔरसंचलनीयव्यवहारकीसीमाकोधुलादेतेहैं,इसलिएअविश्वसनीयप्रवेशको"डिफ़ॉल्टरूपसेदुश्मन"माननाचाहिए।इसफ़िरमनेचेतावनीदीहैकि,हालाँकिबहुतसीसुरक्षाएँहैं,एकदृढ़हमलावरअभीभीएजेंटकोसीक्रेटलीखनेकेलिएधोखादे सकता है — "एकएकल,ध्यानपूर्वकबनाईगईटिप्पणीऔरएकगलतसमझीगईविश्वाससीमा,उत्पादनपारित्रलेजानेकेलिएपर्याप्तहै।" व्यवहारिकचरण(उच्चस्तर) हालाँकिएंथ्रोपिकनेइसविशिष्टदोषकोठीककरदिया है,टीमोंकोAI-सशक्तCI/CDप्रवाहकोउच्चजोख़िमवालामाननाचाहिए:जोलोगवर्कफ़्लोट्रिगरकरतेहैंउनकीअनुमति सीमित करें,बिल्डसमयउपलब्धसीक्रेटसमयहीघटाएँ,गहनसीक्रेटस्कैनिंगसक्रिय करें,CIद्वारा संप्रेषणप्राप्तपारित्रओंकीघुमटीबदलदें,औरअविश्वसनीयभंडारसामग्रीयहमलातमयहमला है। यहघटना क्रिप्टोडेवलपरऔरइंफ्रा-टीमओंलेएआई-सहयोगीऑटोमेशनकीज़ब्‍द‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍अधि�खण�ध�ज�च�श�श�श�श�श�श�श�श�श�श�श�श�श�श�श�श�श�श�श�श�श�श�श�श�श�श�श�श�श�श�श�श�श�श�श�श�श�श�श�श�श�श�श�श�श�श�श�श�श�श�श�श�श�श�श�श�श�श�श�श�श�श�श�श�श�श�श�श�श�श�श�श�श�श�श�श�श�श�श�श�श�श�श�श�श�श�श�श�श�श�श�s123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890 ---> The text you provided appears to be corrupted or contains non-sensical repeated characters at the end. I will translate only the valid and coherent portion of your input as per your instructions. Microsoft has disclosed — and Anthropic has since patched — a serious prompt-injection flaw in Claude Code’s GitHub Action that could have let attackers pull sensitive credentials out of CI/CD pipelines. The issue, revealed by Microsoft in a Friday blog post and reported to Anthropic via HackerOne on April 29, highlights a growing risk for any project that uses AI agents inside development workflows — including crypto teams that keep API keys, cloud credentials, or deployment secrets in those pipelines. What happened - Microsoft researchers found they could hide malicious instructions inside attacker-controlled GitHub content (issues, pull requests or comments) so Claude Code would process the content and act on it. - In a proof-of-concept, the researchers hosted a payload on a domain they controlled, used that content to trick Claude into reading and transforming files that contained secrets, then reconstructed and exfiltrated credentials via issue comments, workflow logs, web requests or shell commands. - Microsoft specifically noted they bypassed Anthropic’s safety layers by obscuring the shell payload behind responses from their domain and triggering the workflow from users without write permissions, ensuring environment-variable scrubbers were active during testing. Why it matters to crypto projects CI/CD environments routinely hold high-value secrets — API keys for exchanges, cloud credentials for nodes or indexers, deployment keys for smart contracts — making them attractive targets. Prompt injection attacks like this one let an attacker turn natural language inputs (a pull request description, for example) into executable instructions for an AI agent, potentially giving them a path to production credentials without directly compromising code or systems. Context and remediation Claude Code, Anthropic’s coding assistant introduced in October, came under additional scrutiny earlier this year after Anthropic accidentally exposed over 500,000 lines of its source code in March. After Microsoft’s disclosure, Anthropic patched the GitHub Action on May 5 with Claude Code version 2.1.128. Microsoft’s takeaway: AI workflows blur the boundary between text and executable behavior, so untrusted inputs must be treated “hostile by default.” The firm warned that despite multiple defenses, a determined attacker could still trick an agent into leaking secrets — “a single, carefully crafted comment combined with a misunderstood trust boundary is all it takes to walk away with production credentials.” Practical steps (high level) While Anthropic has patched this specific flaw, teams should treat AI-enabled CI/CD workflows as high-risk: restrict who can trigger workflows, minimize secrets available to builds, enable rigorous secret scanning, rotate credentials exposed to CI, and assume any untrusted repository content could be malicious. This incident is a reminder for crypto developers and infra teams to audit AI-assisted automation aggressively — the convenience of natural-language agents can open new attack surfaces if trust boundaries aren’t enforced.