Các nhà nghiên cứu của Microsoft đã công bố một lỗ hổng trong GitHub Action của Claude Code thuộc Anthropic, cho phép kẻ tấn công lộ thông tin đăng nhập thông qua các đòn tấn công prompt injection; Anthropic đã vá lỗi này vào ngày 5 tháng 5. Microsoft tiết lộ vấn đề thông qua HackerOne vào ngày 29 tháng 4 và đăng chi tiết trong một bài blog vào thứ Sáu. Lỗ hổng xuất phát từ việc tác nhân lập trình AI xử lý các chỉ dẫn độc hại được giấu trong các issue, pull request hoặc bình luận trên GitHub. Microsoft bắt đầu nghiên cứu sau khi quan sát các nỗ lực prompt injection trên các kho công khai bằng các quy trình làm việc GitHub có hỗ trợ AI, nơi nội dung do kẻ tấn công kiểm soát có thể ảnh hưởng đến cách tác nhân AI sử dụng công cụ. Việc công bố nhấn mạnh các rủi ro bảo mật do các tác nhân lập trình AI chạy bên trong quy trình CI/CD, vốn thường có quyền truy cập khóa API, thông tin xác thực đám mây và các dữ liệu nhạy cảm khác.
Các nhà nghiên cứu Microsoft xác định vectơ tấn công prompt injection
Trong bài blog, Microsoft cho biết nghiên cứu bắt đầu sau khi quan sát các nỗ lực prompt injection trong các kho công khai bằng các quy trình làm việc GitHub có hỗ trợ AI trên nhiều nhà cung cấp. Phương thức tấn công dựa vào nội dung do kẻ tấn công kiểm soát trong issue hoặc pull request được tác nhân AI xử lý, có thể ảnh hưởng đến cách nó sử dụng công cụ. Trên GitHub, pull request cho phép nhà phát triển đề xuất thay đổi cho một kho mã nguồn và những thay đổi đó được xem xét trước khi được chấp thuận và gộp. Theo Microsoft, kẻ tấn công có thể dùng các đòn tấn công prompt injection được giấu trong các issue, pull request hoặc bình luận trên GitHub để thao túng Claude Code nhằm truy cập các tệp chứa thông tin đăng nhập nhạy cảm. Claude Code là tác nhân lập trình AI của Anthropic cho các tác vụ phát triển phần mềm, ra mắt vào tháng 10.
Microsoft thử nghiệm lỗ hổng thông qua tên miền được kiểm soát
Microsoft đã tạo một quy trình làm việc GitHub và che giấu các chỉ dẫn độc hại sau nội dung được lưu trữ trên một tên miền do họ kiểm soát để thử nghiệm lỗ hổng. Cách tiếp cận này giúp các nhà nghiên cứu vượt qua cơ chế an toàn của Claude. Mẹo prompt injection khiến Claude đọc thông tin đăng nhập nhạy cảm và sửa chúng để né cả các biện pháp bảo vệ của Claude lẫn các công cụ quét bí mật của GitHub. Microsoft cho biết kẻ tấn công sau đó có thể tái cấu trúc thông tin đăng nhập và trích xuất dữ liệu thông qua bình luận của issue, nhật ký của workflow, yêu cầu web hoặc lệnh shell. Microsoft viết rằng để vượt qua các cơ chế an toàn từ chối của Sonnet, công ty đã che giấu phần tải trọng shell đằng sau phản hồi từ tên miền mà họ kiểm soát. Microsoft cũng bật để workflow có thể được kích hoạt bởi người dùng không có quyền “write” nhằm đảm bảo các biện pháp giảm thiểu dựa trên biến môi trường của Anthropic được kích hoạt trong suốt quá trình thử nghiệm.
Anthropic vá Claude Code phiên bản 2.1.128 vào ngày 5 tháng 5
Anthropic đã vá lỗ hổng vào ngày 5 tháng 5 bằng Claude Code phiên bản 2.1.128 sau khi Microsoft tiết lộ lỗ hổng thông qua HackerOne vào ngày 29 tháng 4. Công cụ này bị soi xét vào tháng 3 sau khi Anthropic vô tình rò rỉ hơn 500.000 dòng mã nguồn của mình, lộ chi tiết về kiến trúc nội bộ và thúc đẩy phân tích rộng rãi từ các nhà nghiên cứu và nhà phát triển. Dù có nhiều lớp kiểm soát bảo mật tích hợp sẵn, Microsoft phát hiện rằng một kẻ tấn công quyết tâm vẫn có thể tiềm tàng thao túng một tác nhân AI để lộ thông tin nhạy cảm.
Microsoft cảnh báo các hàm ngôn ngữ tự nhiên như mã có thể thực thi
Microsoft cho biết trong bài blog rằng ngành công nghiệp đang bước vào thời đại nơi ngôn ngữ tự nhiên là mã có thể thực thi, và các đầu vào không được tin cậy như issue trên GitHub phải mặc định được coi là thù địch. Công ty viết rằng chỉ cần một bình luận được chế tạo cẩn thận kết hợp với một ranh giới tin cậy bị hiểu sai là đủ để ra đi với thông tin đăng nhập sản xuất. Báo cáo được đưa ra trong bối cảnh các đòn tấn công prompt injection đã nổi lên như một trong những mối đe dọa bảo mật lớn nhất đối với các tác nhân AI. Trong một cuộc tấn công prompt injection, kẻ tấn công giấu các chỉ dẫn trong nội dung như email, tài liệu, website hoặc bình luận mã, khiến hệ thống AI làm theo các chỉ dẫn đó thay vì hướng dẫn của người dùng.
FAQ
Microsoft đã phát hiện lỗ hổng nào trong Claude Code?
Các nhà nghiên cứu của Microsoft phát hiện rằng GitHub Action của Claude Code thuộc Anthropic có thể bị thao túng thông qua các đòn tấn công prompt injection được giấu trong các issue, pull request hoặc bình luận trên GitHub, cho phép kẻ tấn công lộ thông tin đăng nhập được lưu trong các pipeline phát triển phần mềm.
Khi nào Anthropic vá lỗ hổng Claude Code?
Anthropic đã vá lỗ hổng vào ngày 5 tháng 5 bằng Claude Code phiên bản 2.1.128 sau khi Microsoft tiết lộ vấn đề thông qua HackerOne vào ngày 29 tháng 4.
Microsoft đã thử nghiệm lỗ hổng Claude Code như thế nào?
Microsoft tạo một quy trình làm việc GitHub và che giấu các chỉ dẫn độc hại đằng sau nội dung được lưu trữ trên một tên miền do họ kiểm soát, cho phép các nhà nghiên cứu vượt qua các cơ chế an toàn của Claude và lừa tác nhân AI đọc cũng như chỉnh sửa thông tin đăng nhập nhạy cảm.
