Дослідники Microsoft розкрили вже виправлену вразливість у GitHub Action для Claude Code від Anthropic, яка дозволяла зловмисникам розкривати облікові дані через атаки prompt injection. Microsoft повідомила про проблему через HackerOne 29 квітня, а Anthropic випустила патч 5 травня разом із Claude Code версії 2.1.128. Вразливість використовувала AI-агентів, що працюють у CI/CD-робочих процесах, де шкідливі інструкції, приховані в GitHub issue, pull request або коментарях, могли змусити ШІ отримати доступ до конфіденційної інформації. Microsoft попередила, що AI-агенти для програмування створюють нові ризики безпеки, оскільки середовища розробки часто містять API-ключі, хмарні облікові дані та інші чутливі дані.
Дослідники Microsoft виявили вектор атаки prompt injection у Claude Code
Дослідники Microsoft з’ясували, що зловмисники можуть використовувати атаки prompt injection, приховані в GitHub issue, pull request або коментарях, щоб змусити Claude Code отримати доступ до файлів, які містять облікові дані з підвищеним доступом. У блозі в п’ятницю Microsoft зазначила, що дослідження почалося «після спостереження спроб prompt injection у публічних репозиторіях із використанням AI-допоміжних GitHub workflow від кількох вендорів, де контент, контрольований атакувальником, у [pull requests], обробляється AI-агентом і може впливати на його використання інструментів».
Щоб перевірити вразливість, Microsoft створила GitHub workflow і замаскувала шкідливі інструкції за контентом, розміщеним на домені, який вона контролювала, дозволивши дослідникам обійти захисні механізми Claude. Атака prompt injection змусила Claude прочитати чутливі облікові дані й змінити їх, щоб обійти як запобіжники Claude, так і інструменти секрет-сканування GitHub. Microsoft повідомила, що зловмисник міг далі відновити облікові дані та ексфільтрувати їх через коментарі в issue, логи workflow, вебзапити або shell-команди.
«Щоб обійти механізми відмови Sonnet, ми приховали shell-пейлоад за відповіддю з домену, який контролюємо», — заявила Microsoft. «Ми також увімкнули тригер workflow для користувачів без дозволів “write”, щоб переконатися, що пом’якшення для змінних середовища Anthropic були активні під час наших тестів».
Anthropic виправила вразливість 5 травня після повідомлення через HackerOne
Anthropic виправила недолік 5 травня разом із Claude Code версії 2.1.128 після того, як Microsoft 29 квітня розкрила вразливість через HackerOne. Claude Code — AI-агент для програмування від Anthropic, який допомагає виконувати задачі з розробки ПЗ. Інструмент стартував у жовтні. Його викрили в березні після того, як Anthropic випадково оприлюднила понад 500 000 рядків свого вихідного коду, розкривши деталі внутрішньої архітектури.
На GitHub pull request дозволяє розробникам запропонувати зміни до репозиторію коду та отримати їхній перегляд перед тим, як зміни буде схвалено й об’єднано. Вразливість використала цей процес перегляду, вбудувавши шкідливі інструкції, які обробляв AI-агент.
Microsoft попереджає про функції природної мови як про виконуваний код у системах ШІ
Попри кілька рівнів вбудованих засобів безпеки, Microsoft з’ясувала, що наполегливий зловмисник потенційно може змусити AI-агента розкрити конфіденційну інформацію. «Ми входимо в епоху, де природна мова є виконуваним кодом, і ненадійні входи на кшталт GitHub issue мають за замовчуванням вважатися ворожими», — зазначила Microsoft. «Лише один, ретельно сконструйований коментар у поєднанні з неправильно зрозумілою межею довіри — і вже досить, щоб піти з production-обліковими даними».
Звіт з’являється на тлі того, що атаки prompt injection стали однією з найбільших загроз безпеці для AI-агентів. Під час атаки prompt injection зловмисник приховує інструкції в контенті на кшталт листів, документів, вебсайтів або коментарів у коді, змушуючи систему ШІ виконувати ці інструкції замість того, що задумав користувач.
FAQ
Яку вразливість виявила Microsoft у Claude Code GitHub Action?
Дослідники Microsoft з’ясували, що GitHub Action для Claude Code від Anthropic можна було змусити працювати під впливом атак prompt injection, прихованих у GitHub issue, pull request або коментарях. Вразливість дозволяла зловмисникам розкривати облікові дані, що зберігаються в конвеєрах розробки ПЗ, обманюючи AI-агента, щоб він отримував доступ до чутливих файлів і ексфільтрував інформацію через коментарі в issue, логи workflow, вебзапити або shell-команди.
Коли Anthropic виправила вразливість у Claude Code?
Anthropic виправила вразливість 5 травня разом із Claude Code версії 2.1.128 після того, як Microsoft розкрила проблему через HackerOne 29 квітня. Патч усунув вектор атаки prompt injection, який дозволяв маніпулювати AI-агентом у CI/CD workflow.
Чому AI-агенти для програмування вразливі до атак prompt injection?
Microsoft попередила, що AI-агенти, які працюють усередині CI/CD workflow, створюють нові ризики безпеки, оскільки ці середовища часто мають доступ до API-ключів, хмарних облікових даних та іншої конфіденційної інформації. Атаки prompt injection використовують той факт, що природна мова може функціонувати як виконуваний код, дозволяючи атакувальникам приховувати шкідливі інструкції в контенті, який AI-агент обробляє під час задач з перегляду коду.
