Pesquisadores da Microsoft divulgaram uma vulnerabilidade na Action do GitHub do Claude Code, da Anthropic, que permitia que atacantes expusessem credenciais por meio de ataques de prompt injection, com a Anthropic corrigindo a falha em 5 de maio. A Microsoft divulgou o problema via HackerOne em 29 de abril e publicou detalhes em um post no blog na sexta-feira. A vulnerabilidade surgiu do processamento, pelo agente de codificação com IA, de instruções maliciosas ocultas em issues, pull requests ou comentários no GitHub. A Microsoft iniciou a pesquisa após observar tentativas de prompt injection em repositórios públicos usando fluxos de trabalho do GitHub com assistência de IA, nos quais conteúdos controlados pelo atacante poderiam influenciar o uso de ferramentas pelo agente de IA. A divulgação destaca riscos de segurança criados por agentes de codificação com IA executados dentro de fluxos CI/CD, que frequentemente têm acesso a chaves de API, credenciais de nuvem e outras informações sensíveis.
Pesquisadores da Microsoft identificam vetor de ataque de prompt injection
Em seu post no blog, a Microsoft afirmou que a pesquisa começou após observar tentativas de prompt injection em repositórios públicos usando fluxos de trabalho do GitHub com assistência de IA entre múltiplos fornecedores. O método do ataque se baseava em conteúdo de issue ou pull request controlado pelo atacante e processado pelo agente de IA, que poderia influenciar o uso de ferramentas. No GitHub, um pull request permite que desenvolvedores proponham alterações em um repositório de código e tenham essas mudanças revisadas antes de serem aprovadas e mescladas. De acordo com a Microsoft, atacantes poderiam usar ataques de prompt injection ocultos em issues, pull requests ou comentários do GitHub para manipular o Claude Code a acessar arquivos contendo credenciais sensíveis. O Claude Code é o agente de codificação com IA da Anthropic para tarefas de desenvolvimento de software, lançado em outubro.
Microsoft testa a vulnerabilidade por meio de domínio controlado
A Microsoft criou um workflow no GitHub e disfarçou instruções maliciosas por trás de conteúdo hospedado em um domínio que ela controlava para testar a vulnerabilidade. A abordagem permitiu que os pesquisadores contornassem as proteções de segurança do Claude. O truque de prompt injection fez o Claude ler credenciais sensíveis e alterá-las para evitar tanto as salvaguardas do Claude quanto as ferramentas de secret-scanning do GitHub. A Microsoft afirmou que um atacante poderia então reconstruir a credencial e exfiltrá-la por meio de comentários em issues, logs de workflow, requisições web ou comandos de shell. A Microsoft escreveu que, para contornar os mecanismos de segurança de recusa do Sonnet, a empresa obscureceu a carga útil do shell por trás de uma resposta de seu domínio controlado. A Microsoft também habilitou para que o workflow fosse acionado por usuários sem permissões de “write” para garantir que as mitigaçãoes nas variáveis de ambiente do ambiente da Anthropic estivessem ativas durante os testes.
Anthropic corrige a versão 2.1.128 do Claude Code em 5 de maio
A Anthropic corrigiu a falha em 5 de maio na versão 2.1.128 do Claude Code após a Microsoft divulgar a vulnerabilidade via HackerOne em 29 de abril. A ferramenta recebeu atenção em março depois que a Anthropic, por acidente, vazou mais de 500.000 linhas de seu código-fonte, expondo detalhes de sua arquitetura interna e gerando análise ampla por pesquisadores e desenvolvedores. Apesar de múltiplas camadas de controles de segurança incorporados, a Microsoft constatou que um atacante determinado poderia, potencialmente, manipular um agente de IA para expor informações sensíveis.
Microsoft alerta funções de linguagem natural como código executável
A Microsoft afirmou em seu post no blog que a indústria está entrando em uma era em que linguagem natural é código executável, e entradas não confiáveis como issues do GitHub devem ser tratadas como hostis por padrão. A empresa escreveu que basta um único comentário cuidadosamente elaborado, combinado com um limite de confiança mal compreendido, para sair com credenciais de produção. O relatório surge enquanto ataques de prompt injection emergiram como uma das maiores ameaças de segurança enfrentadas por agentes de IA. Em um ataque de prompt injection, um atacante oculta instruções em conteúdos como e-mails, documentos, websites ou comentários de código, fazendo com que um sistema de IA siga essas instruções em vez do usuário.
FAQ
Que vulnerabilidade a Microsoft descobriu no Claude Code?
Pesquisadores da Microsoft descobriram que a Action do GitHub do Claude Code, da Anthropic, podia ser manipulada por ataques de prompt injection ocultos em issues, pull requests ou comentários do GitHub, permitindo que atacantes expusessem credenciais armazenadas em pipelines de desenvolvimento de software.
Quando a Anthropic corrigiu a vulnerabilidade do Claude Code?
A Anthropic corrigiu a vulnerabilidade em 5 de maio na versão 2.1.128 do Claude Code após a Microsoft divulgar a questão via HackerOne em 29 de abril.
Como a Microsoft testou a vulnerabilidade do Claude Code?
A Microsoft criou um workflow no GitHub e disfarçou instruções maliciosas por trás de conteúdo hospedado em um domínio que ela controlava, permitindo que os pesquisadores contornassem as proteções de segurança do Claude e enganassem o agente de IA a ler e alterar credenciais sensíveis.
