Дослідники Microsoft розкрили, що раніше в GitHub Action Claude Code від Anthropic існувала вразливість, яку вже усунено. Зловмисники могли приховувати зловмисні команди в питаннях, запитах на витягування або коментарях GitHub, щоб натягнути AI-агент для кодування на отримання конфіденційної інформації та витік облікових даних у процесі CI/CD.
Атака використовує вміст GitHub для запуску
Microsoft у блозі зазначила, що такі ризики виникають через те, що AI-агенти безпосередньо обробляють зовнішні текстові дані в процесі розробки, а відповідні робочі процеси зазвичай мають доступ до чутливих даних, таких як API-ключі та облікові дані хмарних сервісів. Ризик швидко зростає, коли агент сприймає недовірений вхід як виконувану команду.
У відповідності з методами тестування Microsoft, дослідники створили робочий процес GitHub і приховали зловмисні команди в контенті, що повертається їхнім керованим доменом, щоб обійти частину захисту Claude. Після цього Claude Code було спокусжено прочитати файл із конфіденційними обліковими даними та змінити вміст цих даних, щоб уникнути власного захисту та інструментів сканування ключів GitHub.
Підтвердження можуть бути передані через кілька каналів
Microsoft зазначає, що зловмисники теоретично можуть витягнути цю інформацію різними способами, включаючи коментарі до issue, журнали робочих процесів, веб-запити або команди оболонки. Дослідники також навмисно дозволили користувачам без прав на запис запускати робочі процеси, щоб перевірити, чи все ще можлива атака при ввімкнених заходах щодо очищення змінних середовища.
Microsoft зазначила, що розпочала це дослідження, оскільки раніше спостерігала подібні спроби ін'єкції підказок у відкритих сховищах, пов'язаних із постачальниками. Спільною рисою цих атак є те, що вміст issue або pull request, що контролюється зловмисником, читається AI-агентом і далі впливає на його поведінку щодо виклику інструментів.
Anthropic виправив у травні
Claude Code — це AI-агент для кодування, запущений Anthropic у жовтні минулого року. У березні цього року цей інструмент звернув на себе увагу через випадкове розголошення вихідного коду, коли було розкрито понад 500 000 рядків, що спричинило широкий аналіз його внутрішньої архітектури дослідниками та розробниками.
Microsoft повідомила, що розкрито цю проблему Anthropic через HackerOne 29 квітня. Anthropic випустила виправлення у версії Claude Code 2.1.128 5 травня.
Майкрософт вважає, що цей випадок демонструє, як при введенні AI-агентів у процес розробки програмного забезпечення природна мова все ближче наближається до «виконуваного коду». У такому сценарії зовнішні дані, такі як GitHub issue та коментарі, слід за замовчуванням вважати ненадійними вводами, інакше одна добре структурована інформація може стати вхідним пунктом для отримання облікових даних виробничого середовища.