Investigadores da Microsoft divulgaram uma vulnerabilidade na ação GitHub do Claude Code, da Anthropic, que permitia aos atacantes expor credenciais através de ataques de prompt injection, tendo a Anthropic corrigido a falha a 5 de maio. A Microsoft revelou o problema através do HackerOne em 29 de abril e publicou detalhes num artigo no blog na sexta-feira. A vulnerabilidade resultava do processamento, pelo agente de codificação por IA, de instruções maliciosas escondidas em issues, pull requests ou comentários do GitHub. A Microsoft iniciou a investigação depois de observar tentativas de prompt injection em repositórios públicos usando fluxos de trabalho do GitHub com apoio de IA, nos quais conteúdo controlado pelo atacante podia influenciar o uso de ferramentas pelo agente de IA. A divulgação destaca os riscos de segurança criados por agentes de codificação por IA a correr dentro de fluxos de CI/CD, que muitas vezes têm acesso a chaves de API, credenciais de cloud e outras informações sensíveis.
Investigadores da Microsoft Identificam Vetor de Ataque de Prompt Injection
A Microsoft escreveu no seu artigo de blog que a investigação começou depois de observar tentativas de prompt injection em repositórios públicos usando fluxos de trabalho do GitHub assistidos por IA, em vários fornecedores. O método de ataque baseava-se em conteúdo de issue ou de pull request controlado pelo atacante que era processado pelo agente de IA e podia influenciar o uso de ferramentas. No GitHub, uma pull request permite que os programadores proponham alterações a um repositório de código e que essas alterações sejam revistas antes de serem aprovadas e fundidas. Segundo a Microsoft, os atacantes podiam usar ataques de prompt injection escondidos em issues, pull requests ou comentários do GitHub para manipular o Claude Code a aceder a ficheiros que continham credenciais sensíveis. O Claude Code é o agente de codificação por IA da Anthropic para tarefas de desenvolvimento de software, lançado em outubro.
Microsoft Testa Vulnerabilidade Através de Domínio Controlado
A Microsoft criou um workflow do GitHub e disfarçou instruções maliciosas por trás de conteúdo alojado num domínio que controlava para testar a vulnerabilidade. A abordagem permitiu aos investigadores contornar as proteções de segurança do Claude. O truque do ataque de prompt injection levou o Claude a ler credenciais sensíveis e alterá-las para contornar tanto as salvaguardas do Claude como as ferramentas de secret-scanning do GitHub. A Microsoft afirmou que um atacante podia, em seguida, reconstruir a credencial e exfiltrá-la através de comentários em issues, logs do workflow, pedidos web ou comandos de shell. A Microsoft escreveu que, para contornar os mecanismos de recusa de segurança do Sonnet, a empresa ocultou a carga útil de shell por trás de uma resposta do seu domínio controlado. A Microsoft também permitiu que o workflow fosse acionado por utilizadores sem permissões de 'write' para garantir que as variáveis de ambiente do ambiente da Anthropic desativavam as mitigações durante os testes.
Anthropic Corrige Claude Code Versão 2.1.128 a 5 de maio
A Anthropic corrigiu a falha a 5 de maio com a versão 2.1.128 do Claude Code, depois de a Microsoft ter divulgado a vulnerabilidade através do HackerOne a 29 de abril. A ferramenta ganhou escrutínio em março depois de a Anthropic ter, por acidente, divulgado mais de 500 mil linhas do seu código-fonte, revelando detalhes da sua arquitetura interna e desencadeando uma análise alargada por parte de investigadores e programadores. Apesar de várias camadas de controlos de segurança incorporados, a Microsoft descobriu que um atacante determinado poderia potencialmente manipular um agente de IA para expor informação sensível.
Microsoft Adverte Funções em Linguagem Natural como Código Executável
A Microsoft afirmou no seu artigo de blog que a indústria está a entrar numa era em que linguagem natural é código executável, e que entradas não confiáveis como issues do GitHub devem ser tratadas como hostis por defeito. A empresa escreveu que é tudo o que é preciso: um comentário único, cuidadosamente elaborado, combinado com uma barreira de confiança mal compreendida, para sair com credenciais de produção. O relatório surge numa altura em que os ataques de prompt injection emergiram como uma das maiores ameaças de segurança enfrentadas pelos agentes de IA. Num ataque de prompt injection, um atacante esconde instruções em conteúdos como emails, documentos, websites ou comentários de código, levando um sistema de IA a seguir essas instruções em vez das do utilizador.
FAQ
Que vulnerabilidade descobriu a Microsoft no Claude Code?
Os investigadores da Microsoft descobriram que a ação GitHub do Claude Code da Anthropic podia ser manipulada através de ataques de prompt injection escondidos em issues, pull requests ou comentários do GitHub, permitindo aos atacantes expor credenciais armazenadas em pipelines de desenvolvimento de software.
Quando é que a Anthropic corrigiu a vulnerabilidade do Claude Code?
A Anthropic corrigiu a vulnerabilidade a 5 de maio com a versão 2.1.128 do Claude Code, após a Microsoft ter divulgado o problema através do HackerOne em 29 de abril.
Como é que a Microsoft testou a vulnerabilidade do Claude Code?
A Microsoft criou um workflow do GitHub e disfarçou instruções maliciosas por trás de conteúdo alojado num domínio que controlava, permitindo aos investigadores contornar as proteções de segurança do Claude e enganar o agente de IA a ler e a alterar credenciais sensíveis.
