Исследователи Microsoft сообщили, что ранее в GitHub Action Claude Code от Anthropic существовала уязвимость, которая уже была устранена. Злоумышленники могли скрывать вредоносные команды в вопросах, запросах на вытягивание или комментариях GitHub, чтобы заставить AI-агент для кодирования извлекать конфиденциальную информацию и передавать учетные данные за пределы CI/CD-процесса.
Атака использует содержимое GitHub для триггера
Microsoft в блоге отметила, что такие риски возникают из-за того, что AI-агенты напрямую обрабатывают внешний текстовый контент в процессе разработки, а соответствующие рабочие процессы обычно имеют доступ к чувствительным данным, таким как API-ключи и учетные данные облачных сервисов. Риск быстро усиливается, когда агент воспринимает недоверенные входные данные как исполняемые команды.
Согласно методике тестирования Microsoft, исследователи создали рабочий процесс GitHub и скрыли вредоносные команды в содержимом, возвращаемом их контролируемым доменом, чтобы обойти часть защитных механизмов Claude. Затем Claude Code был заманен в чтение файла, содержащего чувствительные учетные данные, и изменил содержимое этих данных, чтобы обойти собственные защитные механизмы и инструменты сканирования ключей GitHub.
Сертификаты могут быть переданы через различные каналы
Microsoft заявила, что злоумышленники теоретически могут извлечь эту информацию различными способами, включая комментарии к проблемам, журналы рабочих процессов, веб-запросы или команды оболочки. Исследователи также специально позволили пользователям без прав на запись запускать рабочие процессы, чтобы проверить, остается ли возможным атака при включенных мерах по очистке переменных окружения.
Microsoft отметила, что они начали это исследование, поскольку ранее наблюдали подобные попытки внедрения подсказок в открытых репозиториях, связанных с несколькими поставщиками. Общей чертой таких атак является то, что содержимое issue или pull request, контролируемое злоумышленником, считывается AI-агентом и далее влияет на его поведение при вызове инструментов.
Anthropic исправил в мае
Claude Code — это AI-агент для программирования, представленный Anthropic в октябре прошлого года. Этот инструмент привлек внимание в марте этого года из-за случайной утечки исходного кода, когда было раскрыто более 500 000 строк кода, что вызвало широкий анализ его внутренней архитектуры исследователями и разработчиками.
Microsoft сообщила, что раскрыла эту проблему Anthropic через HackerOne 29 апреля. Anthropic выпустила исправление в версии Claude Code 2.1.128 5 мая.
Microsoft считает, что этот случай демонстрирует, как естественный язык становится все ближе к «исполняемому коду» по мере интеграции AI-агентов в процессы разработки программного обеспечения. В таких сценариях внешние данные, такие как GitHub issue и комментарии, должны по умолчанию рассматриваться как ненадежный ввод, иначе одна специально сконструированная информация может стать входом для получения учетных данных производственной среды.