Исследователи Microsoft раскрыли уязвимость в GitHub Action сервиса Claude Code от Anthropic, которая уже устранена. Она позволяла злоумышленникам с помощью атак через prompt injection вынудить систему раскрывать учетные данные. Microsoft сообщила о проблеме через HackerOne 29 апреля, а Anthropic выпустила исправление 5 мая в версии Claude Code 2.1.128. Уязвимость использовалась в работе AI-агентов, запускаемых в сценариях CI/CD: вредоносные инструкции, скрытые в GitHub issues, pull requests или комментариях, могли заставить ИИ получить доступ к конфиденциальной информации. Microsoft предупредила, что AI-агенты для написания кода создают новые риски безопасности, поскольку в средах разработки часто присутствуют ключи API, облачные учетные данные и другие чувствительные данные.
Исследователи Microsoft раскрыли векторы prompt injection-атаки в Claude Code
Исследователи Microsoft выяснили, что злоумышленники могли применять атаки через prompt injection, скрытые в GitHub issues, pull requests или комментариях, чтобы манипулировать Claude Code и заставлять его получать доступ к файлам с конфиденциальными учетными данными. В пятничном блоге Microsoft заявила, что исследование началось «после наблюдения за попытками prompt injection в общедоступных репозиториях с использованием AI-ассистированных GitHub workflow у нескольких вендоров, где контент, контролируемый атакующим — в issue или [pull requests], — обрабатывается AI-агентом и может влиять на то, как он использует инструменты».
Для проверки уязвимости Microsoft создала GitHub workflow и замаскировала вредоносные инструкции за контентом, размещенным на домене, которым она управляла. Это позволило исследователям обойти защиту Claude. В ходе атаки prompt injection Claude заставили прочитать чувствительные учетные данные и изменить их, чтобы обойти как защитные механизмы Claude, так и инструменты GitHub для обнаружения секретов. Microsoft сообщила, что затем злоумышленник мог восстановить учетные данные и эксфильтровать их через комментарии к issue, логи workflow, web-запросы или shell-команды.
«Чтобы обойти механизмы отказа Sonnet, мы скрыли shell payload за ответом с домена, который контролировали», — указала Microsoft. «Мы также включили запуск workflow пользователями без прав “write”, чтобы гарантировать, что смягчающие меры, связанные с переменными окружения Anthropic, были активны во время наших тестов».
Anthropic исправила уязвимость 5 мая после раскрытия через HackerOne
Anthropic устранила эту ошибку 5 мая в версии Claude Code 2.1.128 после того, как Microsoft раскрыла уязвимость через HackerOne 29 апреля. Claude Code — AI-агент Anthropic для задач разработки ПО — стартовал в октябре. В марте инструмент привлек повышенное внимание после того, как Anthropic случайно раскрыла более 500 000 строк своего исходного кода, обнажив детали внутренней архитектуры.
На GitHub pull request позволяет разработчикам предложить изменения в репозитории кода и добиться их проверки до утверждения и последующего объединения. Уязвимость использовала этот процесс проверки: в него были встроены вредоносные инструкции, которые обрабатывал AI-агент.
Microsoft предупреждает о том, что функции на естественном языке могут быть исполняемым кодом в AI-системах
Несмотря на несколько уровней встроенных механизмов безопасности, Microsoft установила, что настойчивый злоумышленник потенциально может заставить AI-агент раскрывать конфиденциальную информацию. «Мы входим в эпоху, где естественный язык — это исполняемый код, и ненадежные входные данные вроде GitHub issues по умолчанию нужно считать враждебными», — заявила Microsoft. «Достаточно одного тщательно подготовленного комментария в сочетании с неверно понятым контуром доверия — и можно уйти с производственными учетными данными».
Отчет выходит на фоне того, что атаки prompt injection становятся одной из крупнейших угроз безопасности для AI-агентов. При prompt injection атакующий скрывает инструкции в контенте вроде писем, документов, сайтов или комментариев к коду, заставляя AI-систему следовать этим инструкциям вместо того, что нужно пользователю.
FAQ
Какую уязвимость обнаружила Microsoft в Claude Code GitHub Action?
Исследователи Microsoft выяснили, что GitHub Action Claude Code от Anthropic можно обойти с помощью атак через prompt injection, скрытых в GitHub issues, pull requests или комментариях. Уязвимость позволяла атакующим раскрывать учетные данные, хранящиеся в пайплайнах разработки ПО: они обманывали AI-агент, заставляя его получать доступ к чувствительным файлам, а затем эксфильтровать информацию через комментарии к issue, логи workflow, web-запросы или shell-команды.
Когда Anthropic исправила уязвимость Claude Code?
Anthropic исправила уязвимость 5 мая в версии Claude Code 2.1.128 после того, как Microsoft раскрыла проблему через HackerOne 29 апреля. Исправление устранило вектор атаки prompt injection, который позволял манипулировать AI-агентом в workflow CI/CD.
Почему AI-агенты для написания кода уязвимы к атакам через prompt injection?
Microsoft предупредила, что AI-агенты для разработки кода, работающие внутри workflow CI/CD, создают новые риски безопасности, потому что такие среды часто имеют доступ к ключам API, облачным учетным данным и другой чувствительной информации. Атаки prompt injection используют тот факт, что естественный язык может функционировать как исполняемый код: злоумышленники прячут вредоносные инструкции в контенте, который AI-агент обрабатывает во время задач по проверке кода.
