Des chercheurs de Microsoft ont dévoilé une vulnérabilité dans l’action GitHub de Claude Code d’Anthropic, qui permettait aux attaquants d’exposer des identifiants via des attaques par injection d’instructions, Anthropic ayant corrigé le défaut le 5 mai. Microsoft a révélé le problème via HackerOne le 29 avril et a publié des détails dans un billet de blog vendredi. La vulnérabilité provenait du traitement, par l’agent de codage IA, d’instructions malveillantes cachées dans des issues GitHub, des pull requests ou des commentaires. Microsoft a lancé les recherches après avoir observé des tentatives d’injection d’instructions dans des dépôts publics utilisant des workflows GitHub assistés par IA, où du contenu contrôlé par l’attaquant pouvait influencer l’utilisation d’outils par l’agent IA. La divulgation met en évidence les risques de sécurité créés par des agents de codage IA exécutés à l’intérieur de workflows CI/CD, qui ont souvent accès à des clés API, des identifiants cloud et d’autres informations sensibles.
Microsoft Researchers Identify Prompt Injection Attack Vector
Microsoft a écrit dans son billet de blog que la recherche a commencé après avoir observé des tentatives d’injection d’instructions dans des dépôts publics utilisant des workflows GitHub assistés par IA auprès de plusieurs vendeurs. La méthode d’attaque reposait sur du contenu de issue ou de pull request contrôlé par l’attaquant, traité par l’agent IA, et pouvant influencer son utilisation d’outils. Sur GitHub, une pull request permet aux développeurs de proposer des modifications à un dépôt de code et de faire examiner ces changements avant qu’ils ne soient approuvés et fusionnés. Selon Microsoft, les attaquants pouvaient utiliser des attaques par injection d’instructions cachées dans des issues GitHub, des pull requests ou des commentaires pour manipuler Claude Code en vue d’accéder à des fichiers contenant des identifiants sensibles. Claude Code est l’agent de codage IA d’Anthropic pour les tâches de développement logiciel, lancé en octobre.
Microsoft Tests Vulnerability Through Controlled Domain
Microsoft a créé un workflow GitHub et a dissimulé des instructions malveillantes derrière du contenu hébergé sur un domaine qu’elle contrôlait pour tester la vulnérabilité. Cette approche a permis aux chercheurs de contourner les protections de sécurité de Claude. L’astuce d’attaque par injection d’instructions a poussé Claude à lire des identifiants sensibles et à les modifier afin d’échapper à la fois aux garde-fous de Claude et aux outils de détection de secrets de GitHub. Microsoft a indiqué qu’un attaquant pouvait alors reconstruire l’identifiant et l’exfiltrer via des commentaires de issue, des journaux de workflow, des requêtes web ou des commandes shell. Microsoft a écrit que, pour contourner les mécanismes de refus liés à la sécurité de Sonnet, la société a obscurci la charge utile shell derrière une réponse provenant de son domaine contrôlé. Microsoft a aussi activé le workflow pour qu’il puisse être déclenché par des utilisateurs n’ayant aucune permission « write » afin de s’assurer que les atténuations via les variables d’environnement d’Anthropic étaient actives pendant les tests.
Anthropic Patches Claude Code Version 2.1.128 on May 5
Anthropic a corrigé le défaut le 5 mai avec Claude Code version 2.1.128 après que Microsoft a divulgué la vulnérabilité via HackerOne le 29 avril. L’outil a suscité l’attention en mars, après qu’Anthropic a accidentellement divulgué plus de 500 000 lignes de son code source, exposant des détails de son architecture interne et déclenchant une analyse généralisée par des chercheurs et des développeurs. Malgré plusieurs couches de contrôles de sécurité intégrés, Microsoft a constaté qu’un attaquant déterminé pourrait potentiellement manipuler un agent IA afin qu’il expose des informations sensibles.
Microsoft Warns Natural Language Functions as Executable Code
Microsoft a indiqué dans son billet de blog que l’industrie entre dans une ère où le langage naturel est du code exécutable, et que des entrées non fiables comme des issues GitHub doivent être considérées comme hostiles par défaut. La société a écrit qu’un seul commentaire soigneusement conçu, combiné à une limite de confiance mal comprise, suffit pour repartir avec des identifiants de production. Le rapport arrive au moment où les attaques par injection d’instructions émergent comme l’une des plus grandes menaces de sécurité pour les agents IA. Dans une attaque par injection d’instructions, un attaquant cache des instructions dans du contenu comme des emails, des documents, des sites web ou des commentaires de code, amenant un système IA à suivre ces instructions au lieu de celles de l’utilisateur.
FAQ
Quelle vulnérabilité Microsoft a-t-il découverte dans Claude Code ?
Les chercheurs de Microsoft ont constaté que l’action GitHub de Claude Code d’Anthropic pouvait être manipulée via des attaques par injection d’instructions cachées dans des issues GitHub, des pull requests ou des commentaires, permettant aux attaquants d’exposer des identifiants stockés dans des pipelines de développement logiciel.
Quand Anthropic a-t-il corrigé la vulnérabilité de Claude Code ?
Anthropic a corrigé la vulnérabilité le 5 mai avec Claude Code version 2.1.128 après que Microsoft a divulgué le problème via HackerOne le 29 avril.
Comment Microsoft a-t-il testé la vulnérabilité de Claude Code ?
Microsoft a créé un workflow GitHub et a dissimulé des instructions malveillantes derrière du contenu hébergé sur un domaine qu’elle contrôlait, permettant aux chercheurs de contourner les protections de sécurité de Claude et de piéger l’agent IA afin qu’il lise et modifie des identifiants sensibles.
