Microsoft araştırmacıları, Anthropic'ın Claude Code GitHub Action'ında daha önce mevcut olan ve düzeltilen bir güvenlik açığını ortaya çıkardı. Saldırganlar, GitHub'daki sorunlar, çekme istekleri veya yorumlara zararlı komutları gizleyerek, AI kodlama aracının CI/CD sürecinde hassas bilgileri okumasına ve kimlik bilgilerini dışarıya iletmesine neden olabilirdi.
GitHub içeriğini tetikleyen saldırı
Microsoft, bu tür risklerin AI temsilcilerinin geliştirme sürecindeki dış metin içeriklerini doğrudan işlemesinden ve ilgili iş akışlarının genellikle API anahtarları, bulut hizmeti kimlik bilgileri gibi hassas verilere erişim sağlamasından kaynaklandığını belirtti. Temsilciler, güvensiz girdileri yürütülebilir komutlar olarak kabul ettiğinde, risk hızla artar.
Microsoft'in test yöntemine göre, araştırmacılar bir GitHub iş akışı kurdu ve zararlı komutları kontrol ettikleri alan adının döndürdüğü içerikte gizledi, böylece Claude'nin bazı güvenlik korumalarını atladı. Ardından, Claude Code, hassas kimlik bilgilerini içeren dosyaları okumaya ikna edildi ve bu kimlik bilgilerini, kendi korumalarını ve GitHub'un anahtar tarayıcısını atlamak için değiştirdi.
Belgeler çeşitli kanallar aracılığıyla dışa aktarılabilir.
Microsoft, saldırganların bu bilgileri, sorun yorumları, iş akışı günlükleri, web istekleri veya shell komutları dahil olmak üzere çeşitli yollarla geri alabileceğini belirtti. Araştırmacılar, ortam değişkenleri temizleme önlemleri etkinleştirildiğinde saldırganlığın hâlâ mümkün olup olmadığını doğrulamak amacıyla yazma izni olmayan kullanıcıların da iş akışını tetiklemesini sağladı.
Microsoft, bu araştırmayı gerçekleştirmenin nedeni, daha önce çeşitli tedarikçi ilgili açık kaynak deposunda benzer uyarı enjeksiyonu girişimleri gözlemlemiş olmalarıdır. Bu tür saldırıların ortak noktası, saldırganın kontrolündeki sorun veya çekme isteği içeriğinin AI temsilcisi tarafından okunması ve bunun araç çağrısı davranışını daha da etkilemesidir.
Anthropic, Mayıs'ta düzeltildi
Claude Code, Anthropic tarafından geçen yıl Ekim'de lanzman edilen bir AI kodlama ajantıdır. Bu araç, bu yıl Mart'ta 500.000 satırdan fazla kaynak kodun yanlışlıkla sızması nedeniyle dikkat çekmişti ve bu olay, araştırmacılar ve geliştiriciler arasında iç mimarisi üzerine geniş analizlere yol açmıştı.
Microsoft, sorunu 29 Nisan'da HackerOne aracılığıyla Anthropic'e bildirdi. Anthropic, düzeltmeyi 5 Mayıs'ta Claude Code 2.1.128 sürümüyle tamamladı.
Microsoft, bu durumun, AI ajantlarının yazılım geliştirme süreçlerine entegre edilmesiyle doğal dil girdilerinin giderek "çalıştırılabilir kod" seviyesine yaklaştığını gösterdiğini düşünüyor. Bu senaryoda, GitHub sorunları, yorumlar ve diğer dış içerikler varsayılan olarak güvensiz girdi olarak kabul edilmelidir; aksi takdirde, tek bir dikkatle oluşturulmuş bilgi üretim ortamı kimlik bilgilerine erişimin bir girişi haline gelebilir.