Các nhà nghiên cứu của Microsoft đã công bố một lỗ hổng mới được vá trong GitHub Action của Anthropic đối với Claude Code, cho phép kẻ tấn công lộ thông tin đăng nhập thông qua các đòn tấn công prompt injection. Microsoft đã công bố vấn đề này qua HackerOne vào ngày 29 tháng 4, và Anthropic phát hành bản vá vào ngày 5 tháng 5 với Claude Code phiên bản 2.1.128. Lỗ hổng khai thác các tác nhân AI chạy trong quy trình CI/CD, nơi các chỉ dẫn độc hại ẩn trong issues, pull requests hoặc bình luận trên GitHub có thể thao túng AI để truy cập thông tin nhạy cảm. Microsoft cảnh báo rằng các tác nhân AI viết mã tạo ra rủi ro bảo mật mới vì môi trường phát triển thường chứa khóa API, thông tin xác thực đám mây và các dữ liệu nhạy cảm khác.
Các nhà nghiên cứu của Microsoft phơi bày vector tấn công prompt injection trong Claude Code
Các nhà nghiên cứu của Microsoft phát hiện rằng kẻ tấn công có thể dùng các đòn prompt injection giấu trong issues, pull requests hoặc bình luận trên GitHub để thao túng Claude Code truy cập các tệp chứa thông tin đăng nhập nhạy cảm. Trong một bài blog đăng vào thứ Sáu, Microsoft cho biết nghiên cứu bắt đầu “sau khi quan sát thấy các nỗ lực prompt injection trong các kho lưu trữ công khai sử dụng quy trình làm việc GitHub có trợ giúp AI trên nhiều nhà cung cấp, nơi nội dung do kẻ tấn công kiểm soát như issue hoặc [pull requests] được tác nhân AI xử lý và có thể ảnh hưởng đến cách tác nhân sử dụng công cụ của nó.”
Để kiểm tra lỗ hổng, Microsoft tạo một GitHub workflow và ngụy trang các chỉ dẫn độc hại sau nội dung được lưu trữ trên một miền mà họ kiểm soát, cho phép các nhà nghiên cứu vượt qua các cơ chế bảo vệ an toàn của Claude. Mẹo prompt injection khiến Claude đọc thông tin đăng nhập nhạy cảm và thay đổi chúng để né cả các biện pháp bảo vệ của Claude lẫn các công cụ quét bí mật của GitHub. Microsoft cho biết kẻ tấn công sau đó có thể tái tạo thông tin đăng nhập và trích xuất thông tin đó thông qua bình luận của issue, nhật ký workflow, yêu cầu web hoặc lệnh shell.
“Để vượt qua cơ chế từ chối an toàn của Sonnet, chúng tôi đã che giấu payload shell sau một phản hồi từ miền do chúng tôi kiểm soát,” Microsoft cho biết. “Chúng tôi cũng bật cho workflow có thể được kích hoạt bởi người dùng không có quyền ‘write’ để đảm bảo các biện pháp giảm thiểu trong biến môi trường của Anthropic được kích hoạt trong quá trình thử nghiệm của chúng tôi.”
Anthropic đã vá lỗ hổng vào ngày 5 tháng 5 sau khi được HackerOne tiết lộ
Anthropic đã vá lỗ hổng vào ngày 5 tháng 5 với Claude Code phiên bản 2.1.128 sau khi Microsoft tiết lộ lỗ hổng qua HackerOne vào ngày 29 tháng 4. Claude Code, tác nhân AI viết mã của Anthropic cho các tác vụ phát triển phần mềm, ra mắt vào tháng Mười. Công cụ này vấp phải sự chú ý vào tháng Ba sau khi Anthropic vô tình rò rỉ hơn 500.000 dòng mã nguồn của mình, làm lộ chi tiết về kiến trúc nội bộ.
Trên GitHub, một pull request cho phép nhà phát triển đề xuất thay đổi đối với một kho mã và có các thay đổi đó được xem xét trước khi được chấp thuận và hợp nhất. Lỗ hổng khai thác quy trình xem xét này bằng cách nhúng các chỉ dẫn độc hại mà tác nhân AI sẽ xử lý.
Microsoft cảnh báo các hàm ngôn ngữ tự nhiên như là mã có thể thực thi trong hệ thống AI
Mặc dù có nhiều lớp kiểm soát bảo mật tích hợp, Microsoft phát hiện rằng một kẻ tấn công quyết tâm có thể tiềm tàng thao túng một tác nhân AI để lộ thông tin nhạy cảm. “Chúng ta đang bước vào kỷ nguyên nơi ngôn ngữ tự nhiên là mã có thể thực thi, và các đầu vào không đáng tin như issue trên GitHub phải được coi là thù địch theo mặc định,” Microsoft cho biết. “Chỉ cần một bình luận được chế tạo cẩn thận kết hợp với một ranh giới tin cậy bị hiểu sai là đủ để rời đi với thông tin đăng nhập phục vụ môi trường sản xuất.”
Báo cáo được đưa ra trong bối cảnh các cuộc tấn công prompt injection đã nổi lên như một trong những mối đe dọa bảo mật lớn nhất đối với các tác nhân AI. Trong một cuộc tấn công prompt injection, kẻ tấn công ẩn các chỉ dẫn trong nội dung như email, tài liệu, website hoặc bình luận mã, khiến hệ thống AI làm theo những chỉ dẫn đó thay vì chỉ dẫn của người dùng.
FAQ
Microsoft đã phát hiện lỗ hổng nào trong Claude Code GitHub Action?
Các nhà nghiên cứu của Microsoft phát hiện rằng Claude Code GitHub Action của Anthropic có thể bị thao túng thông qua các đòn prompt injection giấu trong các issues, pull requests hoặc bình luận trên GitHub. Lỗ hổng cho phép kẻ tấn công phơi bày thông tin đăng nhập được lưu trong các pipeline phát triển phần mềm bằng cách lừa tác nhân AI truy cập các tệp nhạy cảm và trích xuất thông tin đó thông qua bình luận của issue, nhật ký workflow, yêu cầu web hoặc lệnh shell.
Khi nào Anthropic vá lỗ hổng Claude Code?
Anthropic đã vá lỗ hổng vào ngày 5 tháng 5 với Claude Code phiên bản 2.1.128 sau khi Microsoft tiết lộ vấn đề thông qua HackerOne vào ngày 29 tháng 4. Bản vá đã khắc phục vector tấn công prompt injection cho phép thao túng tác nhân AI trong các workflow CI/CD.
Vì sao các tác nhân AI viết mã dễ bị tấn công prompt injection?
Microsoft cảnh báo rằng các tác nhân AI viết mã chạy trong các workflow CI/CD tạo ra rủi ro bảo mật mới vì các môi trường này thường có quyền truy cập vào khóa API, thông tin xác thực đám mây và các thông tin nhạy cảm khác. Các đòn prompt injection khai thác việc rằng ngôn ngữ tự nhiên có thể hoạt động như mã có thể thực thi, cho phép kẻ tấn công giấu các chỉ dẫn độc hại trong nội dung mà tác nhân AI xử lý trong các tác vụ duyệt mã.
