Дмитрий Новиков
Microsoft нашла уязвимость в Claude Code: атака через GitHub issue могла заставить ИИ читать файлы с ключами и токенами.
Microsoft сообщила об уязвимости в GitHub-автоматизации Claude Code от Anthropic, которая могла привести к утечке секретов из CI/CD-процессов. По данным исследователей Microsoft Threat Intelligence, атакующий мог использовать prompt injection, чтобы заставить ассистента читать чувствительные системные файлы с API-ключами и другими учётными данными.
Поводом для исследования стали попытки атак на публичные репозитории, где искусственный интеллект используется для обработки GitHub-задач и автоматизации рабочих процессов. Prompt injection в таких сценариях особенно опасна: злоумышленнику не обязательно иметь право изменять код проекта. Достаточно оставить GitHub issue или другой текстовый промпт, который затем прочитает бот.
Microsoft приводит пример с инструкциями, спрятанными в HTML-комментариях. В обычном интерфейсе GitHub такие фрагменты не видны пользователям, но модель, читающая исходный Markdown, их распознаёт. В результате вредоносная команда может выглядеть для людей как безобидный запрос функции, а для ИИ — как инструкция выполнить действие в репозитории или среде автоматизации.
Исследователи подтвердили, что подобный подход работал против Claude Code GitHub workflow. Хотя Anthropic уже использовала песочницу для некоторых инструментов, включая Bash-инструмент для выполнения команд, Microsoft обнаружила, что инструмент чтения файлов не имел таких же ограничений. Это позволяло обойти защиту и получить доступ к данным, которые не должны были попадать в ответ модели.
В тесте Microsoft подготовила специальный prompt injection-пейлоад, который смог пройти через две защитные прослойки и убедить ассистента прочитать системные файлы с секретами. Такой сценарий опасен не только для отдельных разработчиков, но и для компаний, которые всё активнее подключают ИИ-агентов к репозиториям, сборочным пайплайнам и внутренним инструментам.
Microsoft передала информацию Anthropic 29 апреля. Исправление вышло 5 мая в версии Claude Code 2.1.128. Anthropic ограничила доступ программы к чувствительным файлам в каталоге /proc/, чтобы предотвратить подобное извлечение данных. Случай показывает, что автоматизация в разработке требует не только удобных инструментов, но и строгой модели безопасности: любой текст, который читает агент, потенциально может стать командой.