ช่องโหว่การฉีดคำสั่งใน Claude Code GitHub Action เปิดเผยความลับของ CI/CD

ไมโครซอฟท์เปิดเผย — และแอนธรอปิกได้แก้ไขแล้ว — ช่องโหว่การฉีดคำสั่งอย่างร้ายแรงใน GitHub Action ของ Claude Code ซึ่งอาจทำให้ผู้โจมตีดึงข้อมูลรับรองที่ละเอียดอ่อนออกจากเส้นทาง CI/CD ปัญหานี้ถูกเปิดเผยโดยไมโครซอฟท์ในโพสต์บล็อกเมื่อวันศุกร์ และรายงานให้แอนธรอปิกทราบผ่าน HackerOne เมื่อวันที่ 29 เมษายน ซึ่งเน้นย้ำถึงความเสี่ยงที่เพิ่มขึ้นสำหรับโครงการใดก็ตามที่ใช้ตัวแทน AI ภายในกระบวนการพัฒนา — รวมถึงทีมคริปโตที่เก็บคีย์ API, ข้อมูลรับรองคลาวด์ หรือความลับในการปรับใช้ไว้ในเส้นทางเหล่านี้ สิ่งที่เกิดขึ้น - นักวิจัยของไมโครซอฟท์พบว่าพวกเขาสามารถซ่อนคำสั่งอันตรายไว้ในเนื้อหาที่ผู้โจมตีควบคุมบน GitHub (ปัญหา คำขอดึงข้อมูล หรือความคิดเห็น) เพื่อให้ Claude Code ประมวลผลเนื้อหานั้นและดำเนินการตามคำสั่ง - ในตัวอย่างพิสูจน์แนวคิด นักวิจัยโฮสต์พายโหลดบนโดเมนที่พวกเขาควบคุม ใช้เนื้อหานั้นหลอกให้ Claude อ่านและแปลงไฟล์ที่มีข้อมูลลับ จากนั้นสร้างใหม่และขโมยข้อมูลรับรองผ่านความคิดเห็นในปัญหา บันทึกงาน流程 การร้องขอเว็บ หรือคำสั่งชัลล์ - ไมโครซอฟท์ระบุโดยเฉพาะว่าพวกเขาหลีกเลี่ยงชั้นความปลอดภัยของแอนธรอปิกโดยซ่อนพายโหลดชัลล์ไว้เบื้องหลังการตอบกลับจากโดเมนของพวกเขา และกระตุ้นงาน流程 จากผู้ใช้ที่ไม่มีสิทธิ์เขียน เพื่อให้มั่นใจว่าตัวกรองตัวแปรสภาพแวดล้อมทำงานอยู่ระหว่างการทดสอบ เหตุผลที่สำคัญสำหรับโครงการคริปโต สภาพแวดล้อม CI/CD มักเก็บข้อมูลรับรองคุณค่าสูง — เช่น คีย์ API สำหรับแพลตฟอร์มแลกเปลี่ยน, ข้อมูลรับรองคลาวด์สำหรับโหนดหรืออินเด็กซ์เซอร์, กุญแจการปรับใช้สำหรับสัญญาอัจฉริยะ — ทำให้เป็นเป้าหมายที่น่าสนใจ การโจมตีแบบฉีดคำสั่งเช่นนี้ทำให้ผู้โจมตีสามารถเปลี่ยนอินพุตภาษาธรรมชาติ (เช่น คำอธิบายคำขอดึงข้อมูล) เป็นคำสั่งที่สามารถดำเนินการได้สำหรับตัวแทน AI ซึ่งอาจเปิดทางให้เข้าถึงข้อมูลรับรองการผลิตโดยไม่ต้องโจมตีโค้ดหรือระบบโดยตรง บริบทและการแก้ไข Claude Code ผู้ช่วยเขียนโค้ดของแอนธรอปิกที่เปิดตัวในเดือนตุลาคม ได้รับการตรวจสอบเพิ่มเติมเมื่อต้นปีนี้หลังจากแอนธรอปิกเปิดเผยโค้ดแหล่งที่มาเกิน 500,000 บรรทัดในเดือนมีนาคม หลังจากไมโครซอฟท์เปิดเผยช่องโหว่ แอนธรอปิกได้แก้ไข GitHub Action เมื่อวันที่ 5 พฤษภาคม โดยใช้เวอร์ชัน Claude Code 2.1.128 ข้อสรุปของไมโครซอฟท์: กระบวนการทำงานของ AI ลบเลือนขอบเขตระหว่างข้อความกับพฤติกรรมที่สามารถดำเนินการได้ ดังนั้นอินพุตที่ไม่น่าเชื่อถือควรได้รับการจัดการว่า “เป็นศัตรูโดยค่าเริ่มต้น” บริษัทเตือนว่าแม้มีการป้องกันหลายชั้น ผู้โจมตีที่มีเจตนาแน่วแน่ยังสามารถหลอกตัวแทนให้เปิดเผยข้อมูลลับ — “เพียงความคิดเห็นหนึ่งข้อที่ถูกออกแบบมาอย่างระมัดระวังร่วมกับขอบเขตความเชื่อใจที่เข้าใจผิด ก็เพียงพอแล้วที่จะได้รับข้อมูลรับรองการผลิต” ขั้นตอนปฏิบัติ (ระดับสูง) แม้ว่าแอนธรอปิกจะแก้ไขช่องโหว่นี้แล้ว แต่ทีมควรจัดการกระบวนการทำงาน CI/CD ที่ใช้ AI เป็นระดับความเสี่ยงสูง: จำกัดผู้ที่สามารถกระตุ้นงาน流程, ลดปริมาณข้อมูลลับที่ใช้งานในกระบวนการสร้าง, เปิดใช้งานการสแกนข้อมูลลับอย่างเข้มงวด, เปลี่ยนรหัสผ่านที่ถูกเปิดเผยใน CI และสมมติว่าเนื้อหาจากคลังใดๆ ที่ไม่น่าเชื่อถืออาจเป็นอันตราย เหตุการณ์นี้เป็นคำเตือนสำหรับนักพัฒนาคริปโตและทีมโครงสร้างพื้นฐานให้ตรวจสอบระบบอัตโนมัติที่ช่วยด้วย AI อย่างเข้มงวด — ความสะดวกสบายของตัวแทนภาษาธรรมชาติอาจเปิดพื้นที่โจมตีใหม่หากขอบเขตความเชื่อใจไม่ถูกบังคับใช้อย่างเคร่งครัด