Главная
Новости
Подробнее

Уязвимость типа Prompt-Injection в GitHub Action Claude Code раскрывает секреты CI/CD

iconChainGPT
Поделиться
Share IconShare IconShare IconShare IconShare IconShare IconCopy
AI summary iconСводка

expand icon
Microsoft выявила уязвимость типа инъекции запросов в GitHub Action Anthropic’s Claude Code, которая могла привести к раскрытию секретов CI/CD, таких как ключи API и облачные учетные данные. Уязвимость, устраненная 5 мая, позволяла вредоносные входные данные выполнять в качестве исполняемых команд. Компания подчеркнула риски в рамках MiCA, отметив, что криптопроекты особенно уязвимы, поскольку системы CI/CD часто содержат высокоценные секреты. Microsoft предупредила, что AI-рабочие процессы могут смешивать текст и код, и призвала команды применять уровень контроля CFT к ненадежным входным данным и строго соблюдать границы доверия.

Microsoft раскрыла — а Anthropic уже устранила — серьёзную уязвимость типа prompt-injection в GitHub Action Claude Code, которая могла позволить злоумышленникам извлекать конфиденциальные учётные данные из CI/CD-пайплайнов. Проблема, описанная Microsoft в блог-посте в пятницу и сообщённая Anthropic через HackerOne 29 апреля, подчёркивает растущий риск для любых проектов, использующих AI-агентов в рабочих процессах разработки — включая крипто-команды, хранящие ключи API, облачные учётные данные или секреты развертывания в этих пайплайнах. Что произошло: - Исследователи Microsoft обнаружили, что могут скрывать вредоносные инструкции внутри контента GitHub, контролируемого злоумышленником (заявки, запросы на слияние или комментарии), чтобы Claude Code обрабатывал этот контент и выполнял действия. - В экспериментальном доказательстве исследователи разместили полезную нагрузку на домен, которым они управляли, использовали этот контент, чтобы обмануть Claude и заставить его считывать и преобразовывать файлы, содержащие секреты, а затем восстановить и вывести учётные данные через комментарии к заявкам, журналы рабочих процессов, веб-запросы или команды оболочки. - Microsoft специально отметила, что обходила защитные слои Anthropic, маскируя полезную нагрузку оболочки за ответами с их домена и запуская рабочий процесс от пользователей без прав на запись, что гарантировало активность сканеров переменных окружения во время тестирования. Почему это важно для крипто-проектов: CI/CD-среды обычно содержат высокоценные секреты — ключи API для бирж, облачные учётные данные для нод или индексаторов, ключи развертывания для смарт-контрактов — что делает их привлекательными целями. Атаки типа prompt-injection позволяют злоумышленнику превращать естественные языковые входы (например, описание запроса на слияние) в исполняемые инструкции для AI-агента, потенциально получая доступ к продакшн-учётным данным без прямого взлома кода или систем. Контекст и устранение: Claude Code — AI-ассистент Anthropic, представленный в октябре — подвергся дополнительному вниманию в начале этого года после того, как Anthropic случайно раскрыла более 500 000 строк своего исходного кода в марте. После раскрытия Microsoft Anthropic устранила уязвимость в GitHub Action 5 мая с помощью версии Claude Code 2.1.128. Вывод Microsoft: рабочие процессы с AI стирают границу между текстом и исполняемым поведением, поэтому ненадёжные входные данные следует рассматривать как «враждебные по умолчанию». Компания предупредила, что даже при наличии нескольких защитных слоёв настойчивый злоумышленник всё ещё может обмануть агента и вывести секреты — «достаточно одного тщательно сформулированного комментария и неправильно понятой границы доверия, чтобы получить доступ к продакшн-учётным данным». Практические шаги (обзор): Хотя Anthropic устранила эту конкретную уязвимость, командам следует рассматривать CI/CD-рабочие процессы с AI как высокорисковые: ограничивать доступ к запуску рабочих процессов, минимизировать доступные секреты для сборок, включить строгий сканинг секретов, менять учётные данные, подвергавшиеся воздействию CI, и предполагать, что любой контент из ненадёжного репозитория может быть вредоносным. Этот инцидент напоминает крипто-разработчикам и командам инфраструктуры: необходимо агрессивно аудитировать автоматизацию с AI-помощниками — удобство агентов на естественном языке может открыть новые поверхности атак, если границы доверия не будут строго соблюдаться.

Источник:Показать оригинал
Отказ от ответственности: Информация на этой странице может быть получена от третьих лиц и не обязательно отражает взгляды или мнения KuCoin. Данный контент предоставляется исключительно в общих информационных целях, без каких-либо заверений или гарантий, а также не может быть истолкован как финансовый или инвестиционный совет. KuCoin не несет ответственности за ошибки или упущения, а также за любые результаты, полученные в результате использования этой информации. Инвестиции в цифровые активы могут быть рискованными. Пожалуйста, тщательно оценивайте риски, связанные с продуктом, и свою устойчивость к риску, исходя из собственных финансовых обстоятельств. Для получения более подробной информации, пожалуйста, ознакомьтесь с нашими Условиями использования и Уведомлением о риске.