Peneliti Microsoft mengungkap bahwa sebelumnya terdapat kerentanan pada GitHub Action Claude Code dari Anthropic yang telah diperbaiki. Penyerang dapat menyembunyikan perintah jahat di issue, pull request, atau komentar GitHub, untuk memancing agen pengkodean AI membaca informasi sensitif dalam proses CI/CD dan mengirimkan kredensial ke luar.
Serangan memanfaatkan konten GitHub
Microsoft menyatakan dalam blog bahwa risiko semacam ini berasal dari agen AI yang secara langsung menangani konten teks eksternal dalam proses pengembangan, sementara alur kerja terkait biasanya dapat mengakses data sensitif seperti kunci API dan kredensial layanan cloud. Risiko akan segera meningkat jika agen memperlakukan input yang tidak dapat dipercaya sebagai instruksi yang dapat dieksekusi.
Dengan mengikuti metode pengujian Microsoft, para peneliti membangun alur kerja GitHub dan menyamarkan perintah jahat dalam konten yang dikembalikan oleh domain yang mereka kendalikan, sehingga dapat melewati sebagian perlindungan keamanan Claude. Selanjutnya, Claude Code dirayu untuk membaca file yang berisi kredensial sensitif dan mengubah isi kredensial tersebut agar menghindari perlindungan dirinya sendiri serta alat pemindaian kunci GitHub.
Bukti dapat disebarkan melalui berbagai saluran
Microsoft menyatakan bahwa penyerang secara teoritis dapat mengambil kembali informasi ini melalui berbagai cara, termasuk komentar issue, log alur kerja, permintaan web, atau perintah shell. Para peneliti juga sengaja memungkinkan pengguna tanpa izin penulisan untuk memicu alur kerja, guna memverifikasi apakah serangan masih mungkin terjadi ketika langkah pembersihan variabel lingkungan diaktifkan.
Microsoft menyatakan bahwa mereka melakukan penelitian ini karena sebelumnya telah mengamati upaya injeksi petunjuk serupa di beberapa repositori publik terkait pemasok. Ciri umum serangan ini adalah konten issue atau pull request yang dikendalikan oleh penyerang akan dibaca oleh agen AI, yang selanjutnya memengaruhi perilaku pemanggilan alatnya.
Anthropic telah diperbaiki pada Mei
Claude Code adalah agen AI yang diluncurkan oleh Anthropic pada Oktober tahun lalu. Alat ini pernah menjadi perhatian pada Maret tahun ini akibat kebocoran kode sumber, di mana konten yang bocor melebihi 500.000 baris, memicu analisis luas dari para peneliti dan pengembang terhadap arsitektur internalnya.
Microsoft menyatakan telah melaporkan masalah ini kepada Anthropic melalui HackerOne pada 29 April. Anthropic kemudian merilis versi Claude Code 2.1.128 pada 5 Mei untuk memperbaiki masalah tersebut.
Microsoft percaya bahwa kasus ini menunjukkan bahwa seiring agen AI terintegrasi ke dalam proses pengembangan perangkat lunak, input bahasa alami semakin mendekati "kode yang dapat dieksekusi". Dalam skenario ini, konten eksternal seperti GitHub issue dan komentar harus dianggap sebagai input tidak tepercaya secara default, karena satu pesan yang dirancang dengan cermat saja bisa menjadi pintu masuk untuk mendapatkan kredensial lingkungan produksi.