Claude Code GitHub ActionのPromptインジェクションの脆弱性によりCI/CDのシークレットが漏洩

Microsoftは、Claude CodeのGitHub Actionに深刻なプロンプトインジェクションの脆弱性が存在していたことを公表し、Anthropicはその後この脆弱性をパッチで修正しました。この脆弱性により、攻撃者がCI/CDパイプラインから機密な認証情報を引き出せる可能性がありました。Microsoftは金曜日のブログ投稿でこの問題を明らかにし、4月29日にHackerOne経由でAnthropicに報告しました。これは、開発ワークフローにAIエージェントを導入しているプロジェクト全般、特に取引所のAPIキー、クラウド認証情報、デプロイシークレットをこれらのパイプラインに保存している暗号通貨チームにとって、増大するリスクを示しています。 発生した事象： - Microsoftの研究者は、攻撃者が制御するGitHubコンテンツ（イシュー、プルリクエスト、コメント）に悪意のある指示を隠すことで、Claude Codeがそのコンテンツを処理し、それに従って動作させられることを発見しました。 - プルーフ・オブ・コンセプトでは、研究者は自らが制御するドメインにペイロードをホストし、そのコンテンツを使ってClaudeにシークレットを含むファイルを読み取り変換させ、その後イシューのコメント、ワークフローログ、Webリクエスト、またはシェルコマンドを通じて認証情報を再構成して外部に送信しました。 - Microsoftは、自らのドメインからの応答でシェルペイロードを隠蔽し、書き込み権限を持たないユーザーからワークフローを起動することで、Anthropicのセーフティレイヤーを回避したと明確に述べています。これにより、テスト中に環境変数のスクラビング機能が有効化される状況を作り出しました。 暗号通貨プロジェクトにとっての重要性： CI/CD環境には通常、取引所用のAPIキー、ノードやインデクサー用のクラウド認証情報、スマートコントラクト用のデプロイキーなど、高価値なシークレットが格納されており、攻撃者にとって魅力的なターゲットです。このようなプロンプトインジェクション攻撃は、自然言語入力（たとえばプルリクエストの説明など）をAIエージェントの実行可能な命令に変換し、コードやシステム自体を直接侵害することなく本番環境の認証情報へのアクセスを可能にします。 背景と対策： Anthropicが10月に導入したコードアシスタント「Claude Code」は、今年3月にAnthropicが自社のソースコード50万行以上を誤って公開した後、さらに注目を集めました。Microsoftの公表後、Anthropicは5月5日にClaude Codeバージョン2.1.128でGitHub Actionをパッチ適用しました。 Microsoftの教訓：AIワークフローはテキストと実行可能な動作の境界を曖昧にするため、信頼できない入力は「デフォルトで敵対的」と扱う必要があります。同社は、複数の防御策が存在しても、意図的な攻撃者がエージェントをだましてシークレットを漏洩させる可能性があると警告しました。「1つの丁寧に作られたコメントと誤解された信頼境界の組み合わせだけで、本番環境の認証情報を入手できるのです。」 実践的な対応策（概要）： Anthropicはこの特定の脆弱性を修正しましたが、AI対応のCI/CDワークフローは高リスクとみなすべきです。ワークフローの起動者を制限し、ビルドにアクセス可能なシークレットを最小限に抑え、厳格なシークレットスキャンを有効化し、CIに暴露された認証情報を定期的にローテーションしてください。また、信頼できないリポジトリのコンテンツはすべて悪意ある可能性があると仮定してください。 この出来事は、暗号通貨開発者およびインフラチームにとって、AI支援自動化を積極的に監査する必要があることを思い出させます。自然言語エージェントの利便性は、信頼境界が適切に強制されない場合、新たな攻撃面を開く可能性があります。