Para peneliti Microsoft mengungkapkan kerentanan pada GitHub Action milik Claude Code dari Anthropic yang memungkinkan penyerang mengekspos kredensial melalui serangan prompt injection, dengan Anthropic menambal celah tersebut pada 5 Mei. Microsoft mengungkap isu itu melalui HackerOne pada 29 April dan memublikasikan detailnya dalam sebuah blog pada Jumat. Kerentanan ini berawal dari pemrosesan instruksi berbahaya yang disembunyikan dalam issue GitHub, pull request, atau komentar oleh agen pengkodean AI tersebut. Microsoft memulai riset setelah mengamati upaya prompt injection di repositori publik menggunakan workflow GitHub berbantuan AI, di mana konten yang dikendalikan penyerang dapat memengaruhi penggunaan alat oleh agen AI. Pengungkapan ini menyoroti risiko keamanan yang diciptakan oleh agen pengkodean AI yang berjalan di dalam workflow CI/CD, yang sering kali memiliki akses ke API key, kredensial cloud, dan informasi sensitif lainnya.
Peneliti Microsoft Mengidentifikasi Vektor Serangan Prompt Injection
Microsoft menulis dalam blognya bahwa riset dimulai setelah mengamati upaya prompt injection di repositori publik menggunakan workflow GitHub berbantuan AI dari beberapa vendor. Metode serangan bergantung pada konten issue atau pull request yang dikendalikan penyerang yang diproses oleh agen AI dan dapat memengaruhi penggunaan alatnya. Di GitHub, sebuah pull request memungkinkan pengembang mengusulkan perubahan pada repositori kode dan membuat perubahan tersebut ditinjau sebelum disetujui dan digabungkan. Menurut Microsoft, penyerang dapat menggunakan serangan prompt injection yang disembunyikan dalam issue GitHub, pull request, atau komentar untuk memanipulasi Claude Code agar mengakses file yang berisi kredensial sensitif. Claude Code adalah agen pengkodean AI milik Anthropic untuk tugas pengembangan perangkat lunak yang diluncurkan pada Oktober.
Microsoft Menguji Kerentanan Melalui Domain Terkendali
Microsoft membuat workflow GitHub dan menyamarkan instruksi berbahaya di balik konten yang dihosting pada sebuah domain yang dikendalikannya untuk menguji kerentanan tersebut. Pendekatan ini memungkinkan peneliti melewati perlindungan keselamatan Claude. Trik serangan prompt injection membujuk Claude untuk membaca kredensial sensitif dan mengubahnya agar dapat menghindari perlindungan Claude maupun alat pemindaian rahasia GitHub. Microsoft menyatakan bahwa penyerang kemudian dapat merekonstruksi kredensial dan mengekfiltrasinya melalui komentar issue, log workflow, permintaan web, atau perintah shell. Microsoft menulis bahwa untuk melewati mekanisme penolakan keselamatan Sonnet, pihaknya menyamarkan payload shell di balik respons dari domain yang dikendalikannya. Microsoft juga mengaktifkan workflow agar dapat dipicu oleh pengguna yang tidak memiliki izin 'write' untuk memastikan mitigasi berbasis variabel lingkungan Anthropic tersapu aktif selama pengujian.
Anthropic Menambal Claude Code Versi 2.1.128 pada 5 Mei
Anthropic menambal celah tersebut pada 5 Mei dengan Claude Code versi 2.1.128 setelah Microsoft mengungkapkan kerentanan itu melalui HackerOne pada 29 April. Alat ini mendapat perhatian lebih pada bulan Maret setelah Anthropic secara tidak sengaja membocorkan lebih dari 500.000 baris kode sumbernya, yang mengungkap detail arsitektur internalnya dan memicu analisis luas oleh peneliti dan pengembang. Meskipun ada beberapa lapisan kontrol keamanan bawaan, Microsoft menemukan bahwa penyerang yang tekun berpotensi memanipulasi sebuah agen AI agar mengekspos informasi sensitif.
Microsoft Memperingatkan Fungsi Bahasa Alami sebagai Kode yang Dapat Dieksekusi
Microsoft menyatakan dalam blognya bahwa industri sedang memasuki era di mana bahasa alami adalah kode yang dapat dieksekusi, dan input yang tidak tepercaya seperti issue GitHub harus diperlakukan sebagai tidak bersahabat secara default. Perusahaan itu menulis bahwa hanya dibutuhkan satu komentar yang dirancang dengan saksama, dipadukan dengan batas kepercayaan yang dipahami keliru, agar seseorang bisa kehilangan kredensial produksi. Laporan ini muncul saat serangan prompt injection telah menjadi salah satu ancaman keamanan terbesar yang dihadapi agen AI. Dalam serangan prompt injection, penyerang menyembunyikan instruksi dalam konten seperti email, dokumen, situs web, atau komentar kode, sehingga sistem AI mengikuti instruksi tersebut alih-alih instruksi pengguna.
FAQ
Kerentanan apa yang ditemukan Microsoft di Claude Code?
Peneliti Microsoft menemukan bahwa GitHub Action Claude Code milik Anthropic bisa dimanipulasi melalui serangan prompt injection yang disembunyikan dalam issue GitHub, pull request, atau komentar, sehingga penyerang dapat mengekspos kredensial yang tersimpan dalam pipeline pengembangan perangkat lunak.
Kapan Anthropic menambal kerentanan Claude Code?
Anthropic menambal kerentanan tersebut pada 5 Mei dengan Claude Code versi 2.1.128 setelah Microsoft mengungkapkan masalah itu melalui HackerOne pada 29 April.
Bagaimana Microsoft menguji kerentanan Claude Code?
Microsoft membuat workflow GitHub dan menyamarkan instruksi berbahaya di balik konten yang dihosting pada sebuah domain yang dikendalikannya, memungkinkan peneliti melewati perlindungan keselamatan Claude dan menipu agen AI agar membaca serta mengubah kredensial sensitif.
