مائیکروسافٹ کے محققین نے افشا کیا ہے کہ Anthropic کے Claude Code GitHub Action میں ایک خامی تھی جسے اب درست کر دیا گیا ہے۔ حملہ آور کسی GitHub ایشو، پلی ریکسٹ یا تبصرے میں بری مانند ہدایات چھپا سکتے ہیں تاکہ AI کوڈنگ ایجینٹ CI/CD پروسیس میں حساس معلومات پڑھے اور اعتماد کی تفصیلات باہر بھیجے۔
حملہ گٹھبب کے مواد کو فعال کرنے کے ذریعے ہوا
مایکروسافٹ نے اپنے بلاگ میں کہا کہ یہ خطرات AI ایجینٹس کی وجہ سے ہوتے ہیں جو ترقیاتی عمل میں باہری متن کو براہ راست پروسیس کرتے ہیں، جبکہ متعلقہ ورک فلو عام طور پر API کلیدوں، کلاؤڈ سروس کریڈنشلز جیسے حساس ڈیٹا تک رسائی رکھتے ہیں۔ اگر ایجینٹ غیر قابلِ اعتماد ان پٹ کو ایکزیکیبل ہدایات کے طور پر سمجھ لے، تو خطرہ فوراً بڑھ جاتا ہے۔
مائیکروسافٹ کے ٹیسٹنگ طریقے کے مطابق، تحقیق کاروں نے ایک GitHub ورک فلو بنایا اور برے نیت والے حکمات کو اپنے کنٹرول کردہ ڈومین کی واپسی میں چھپا دیا، جس سے کلوڈ کے کچھ سیکیورٹی تحفظات کو دور کر لیا گیا۔ اس کے بعد، کلوڈ کوڈ کو حساس اعتمادی تفصیلات والے فائلز کو پڑھنے کے لیے متوجہ کیا گیا، اور اعتمادی تفصیلات کو تبدیل کر دیا گیا تاکہ اپنے خود کو سیکیورٹی اور گٹھبب کے کلید سکیننگ ٹولز سے بچایا جا سکے۔
سندیں کئی طریقوں سے باہر بھیجی جا سکتی ہیں
مائیکروسافٹ کے مطابق، حملہ آور اس معلومات کو واپس حاصل کرنے کے لیے کئی طریقوں کا استعمال کر سکتے ہیں، جیسے کہ مسئلہ کے تبصرے، ورک فلو لاگز، ویب درخواستیں یا شیل حکمات۔ تحقیق کاروں نے خاص طور پر ایسا کیا تاکہ لکھنے کی اجازت والے صارفین کے بغیر بھی ورک فلو ٹرگر ہو سکے، تاکہ یہ تصدیق کی جا سکے کہ جب ماحولیاتی متغیر صاف کرنے کے اقدامات فعال ہوں، تو حملہ اب بھی ممکن ہو سکتا ہے۔
مائیکروسافٹ نے کہا کہ وہ اس تحقیق کو اس لیے شروع کر رہے ہیں کیونکہ پہلے ہی کئی سپلائر سے متعلق عوامی ریپوزٹریز میں اس طرح کی پرامپٹ انجیکشن کی کوششیں دیکھی گئی ہیں۔ اس قسم کے حملوں کا مشترکہ پہلو یہ ہے کہ حملہ آور کے کنٹرول میں issue یا پل ای ریکسٹ کا مواد AI ایجینٹ کے ذریعے پڑھا جاتا ہے اور اس سے اس کے ٹول کال کے رویے پر اثر پڑتا ہے۔
Anthropic نے مئی میں درست کر دیا
کلوڈ کوڈ Anthropic کا ایک AI کوڈنگ ایجینٹ ہے جسے پچھلے اکتوبر میں لانچ کیا گیا تھا۔ اس ٹول نے مارچ 2024 میں بھی توجہ حاصل کی جب اس کا سورس کوڈ غلطی سے لیک ہو گیا، جس میں 500,000 سے زائد لائنز شامل تھیں، جس نے تحقیق کاروں اور ڈویلپرز کو اس کے اندر کے ڈیزائن کا تجزیہ کرنے کے لیے متوجہ کر دیا۔
مایکروسافٹ نے کہا کہ انہوں نے 29 اپریل کو HackerOne کے ذریعے Anthropic کو اس مسئلے کی اطلاع دے دی۔ Anthropic نے بعد میں 5 مئی کو Claude Code 2.1.128 کا اپڈیٹ جاری کرکے اس کا ازالہ کر لیا۔
مایکروسافٹ کا خیال ہے کہ یہ معاملہ ظاہر کرتا ہے کہ جب AI ایجنسیوں کو سافٹ ویئر ترقی کے عمل میں جوڑا جاتا ہے، تو قدرتی زبان کے ان پٹز اب "قابل اجراء کوڈ" کے قریب تر ہوتے جا رہے ہیں۔ اس صورتحال میں، گٹھبب اسیو، تبصرے اور دیگر بیرونی مواد کو ڈیفالٹ طور پر غیر قابلِ اعتماد ان پٹ کے طور پر سمجھنا چاہیے، ورنہ ایک منظم معلومات کا ایک منفرد پیغام پیداواری ماحول کے حوالہ جات حاصل کرنے کا دروازہ بن سکتا ہے۔