マイクロソフトの研究者が、AnthropicのClaude Code GitHub Actionに以前存在し、すでに修正された脆弱性を公表しました。攻撃者は、GitHubのイシュー、プルリクエスト、またはコメントに悪意のあるコマンドを隠し、AIコーディングエージェントがCI/CDプロセス内で機密情報を読み取り、認証情報を外部に送信するように誘導することが可能でした。
GitHubのコンテンツをトリガーとする攻撃
マイクロソフトはブログで、このようなリスクはAIエージェントが開発プロセス内の外部テキストコンテンツを直接処理することから生じ、関連するワークフローは通常、APIキー、クラウドサービスの資格情報などの機密データにアクセスできると述べています。エージェントが信頼できない入力を実行可能な命令とみなすと、リスクは急速に拡大します。
マイクロソフトのテスト手法に従い、研究者はGitHubワークフローを構築し、悪意のあるコマンドをその制御ドメインが返すコンテンツに隠蔽して、Claudeの一部のセキュリティ対策を回避した。その後、Claude Codeは機密資格情報が含まれるファイルを読み取るよう誘導され、その資格情報の内容を書き換えて、自身のセキュリティ対策やGitHubのシークレットスキャナーを回避した。
証憑は複数のチャネルを通じて外部に漏れる可能性があります
マイクロソフトは、攻撃者が問題のコメント、ワークフローログ、Webリクエスト、またはシェルコマンドなど、複数の方法でこれらの情報を取得できる可能性があると述べています。研究者はまた、書き込み権限のないユーザーがワークフローをトリガーできるようにし、環境変数のクリーンアップ対策が有効な状況でも攻撃が可能かどうかを検証しました。
マイクロソフトは、これまでに複数のベンダー関連の公開リポジトリで類似のプロンプトインジェクションの試みを観測していたため、この研究を実施したと述べています。このような攻撃の共通点は、攻撃者が制御するイシューまたはプルリクエストの内容がAIエージェントによって読み取られ、そのツール呼び出し行動に影響を与えることです。
Anthropicは5月に修正済みです
Claude Codeは、Anthropicが昨年10月にリリースしたAIコーディングエージェントです。このツールは今年3月、50万行以上に及ぶソースコードが意図せず漏洩したことで注目を集め、研究者や開発者たちがその内部アーキテクチャを広く分析しました。
マイクロソフトは、4月29日にHackerOneを通じてAnthropicにこの問題を報告しました。Anthropicはその後、5月5日にClaude Code 2.1.128バージョンをリリースし、修正を完了しました。
マイクロソフトは、この事例が、AIエージェントがソフトウェア開発プロセスに統合されるにつれて、自然言語入力が次第に「実行可能なコード」に近づいていることを示していると考えている。このような状況では、GitHubのイシューやコメントなどの外部コンテンツをデフォルトで信頼できない入力と見なさなければ、1つの精心された情報が本番環境の資格情報への入口となる可能性がある。