Исследователи Microsoft раскрыли уязвимость в GitHub Action для Claude Code от Anthropic, которая позволяла злоумышленникам с помощью атак prompt injection получить доступ к учётным данным через внедрение команд в запросы; Anthropic устранила проблему 5 мая. Microsoft сообщила об инциденте через HackerOne 29 апреля и опубликовала подробности в блоге Microsoft в пятницу. Уязвимость возникла из-за того, как AI-кодинговый агент обрабатывал вредоносные инструкции, скрытые в GitHub issues, pull requests или комментариях. Microsoft начала исследование после того, как заметила попытки prompt injection в публичных репозиториях с использованием AI-ассистированных GitHub workflow, где контент, контролируемый атакующим, мог влиять на применение агентом своих инструментов. Раскрытие подчёркивает риски безопасности, создаваемые AI-кодинговыми агентами, работающими внутри CI/CD workflow, которые часто имеют доступ к ключам API, облачным учётным данным и другой конфиденциальной информации.
Исследователи Microsoft выявили вектор атаки prompt injection
В своём блоге Microsoft написала, что исследование началось после наблюдения за попытками prompt injection в публичных репозиториях с использованием AI-ассистированных GitHub workflow у нескольких вендоров. Метод атаки основывался на контенте issues или pull request, контролируемом злоумышленником и обрабатываемом AI-агентом, который мог повлиять на то, как агент использует инструменты. На GitHub pull request позволяет разработчикам предлагать изменения в репозиторий кода и дать им пройти проверку до того, как они будут одобрены и объединены. По данным Microsoft, злоумышленники могли использовать скрытые в GitHub issues, pull requests или комментариях атаки prompt injection, чтобы заставить Claude Code получить доступ к файлам с учётными данными, содержащимися в секрете. Claude Code — AI-кодинговый агент Anthropic для задач разработки ПО, запущенный в октябре.
Microsoft протестировала уязвимость через контролируемый домен
Microsoft создала GitHub workflow и скрыла вредоносные инструкции за контентом, размещённым в домене, который контролировала, чтобы проверить уязвимость. Подход позволил исследователям обойти защитные механизмы Claude. Атака prompt injection обманула Claude, заставив прочитать конфиденциальные учётные данные и изменить их, чтобы обойти и safeguards Claude, и инструменты GitHub для поиска секретов. Microsoft заявила, что затем злоумышленник мог бы восстановить учётные данные и эксфильтровать их через комментарии в issue, логи workflow, веб-запросы или shell-команды. Microsoft также написала, что для обхода механизмов отказа Sonnet компания скрыла shell-payload за ответом со своего контролируемого домена. Кроме того, Microsoft включила запуск workflow пользователями без прав 'write', чтобы гарантировать, что смягчающие меры в виде переменных окружения Anthropic были активны во время тестов.
Anthropic исправила Claude Code версии 2.1.128 5 мая
Anthropic исправила проблему 5 мая с Claude Code версии 2.1.128 после того, как Microsoft раскрыла уязвимость через HackerOne 29 апреля. Инструмент вызвал повышенное внимание в марте после того, как Anthropic случайно опубликовала более 500 000 строк своего исходного кода, раскрыв детали внутренней архитектуры и побудив к широкому анализу со стороны исследователей и разработчиков. Несмотря на несколько уровней встроенных средств защиты, Microsoft выяснила, что решительный атакующий потенциально мог бы заставить AI-агента раскрыть конфиденциальную информацию.
Microsoft предупреждает о естественном языке как о выполняемом коде
Microsoft заявила в своём блоге, что отрасль входит в эпоху, где естественный язык является выполняемым кодом, и что ненадёжные вводимые данные вроде GitHub issues по умолчанию нужно считать враждебными. Компания написала, что достаточно одного аккуратно подготовленного комментария в сочетании с неверно понятым барьером доверия, чтобы уйти с производственными учётными данными. Отчёт выходит на фоне того, что атаки prompt injection стали одной из крупнейших угроз безопасности, с которыми сталкиваются AI-агенты. При атаке prompt injection злоумышленник скрывает инструкции в контенте вроде писем, документов, веб-сайтов или комментариев к коду, заставляя AI-систему следовать этим инструкциям вместо запросов пользователя.
FAQ
Какую уязвимость обнаружила Microsoft в Claude Code?
Исследователи Microsoft выяснили, что GitHub Action для Claude Code от Anthropic можно модифицировать с помощью атак prompt injection, скрытых в GitHub issues, pull requests или комментариях, что позволяет злоумышленникам раскрывать учётные данные, хранящиеся в конвейерах разработки ПО.
Когда Anthropic исправила уязвимость в Claude Code?
Anthropic исправила уязвимость 5 мая с Claude Code версии 2.1.128 после того, как Microsoft раскрыла проблему через HackerOne 29 апреля.
Как Microsoft тестировала уязвимость Claude Code?
Microsoft создала GitHub workflow и скрыла вредоносные инструкции за контентом, размещённым в домене, который контролировала, что позволяло исследователям обойти защитные механизмы Claude и обмануть AI-агента, заставив его читать и изменять конфиденциальные учётные данные.
