Společnost Microsoft odhalila zranitelnost v nástroji Claude Code od Anthropicu, který slouží k automatizaci na GitHubu. Chyba mohla vést k úniku tajných údajů z CI/CD procesů. Výzkumníci z Microsoft Threat Intelligence zjistili, že útočník mohl pomocí prompt injection přimět asistenta k přečtení citlivých systémových souborů obsahujících API klíče a další přihlašovací údaje.
K vyšetřování vedly pokusy o útoky na veřejné repozitáře, v nichž se AI používá ke zpracování GitHub issues a automatizaci pracovních postupů. Prompt injection je v takových scénářích obzvlášť nebezpečný: útočník nepotřebuje oprávnění k úpravě kódu projektu. Stačí, když zanechá GitHub issue nebo jiný textový prompt, který robot přečte.
Microsoft uvádí příklad s instrukcemi skrytými uvnitř HTML komentářů. V běžném rozhraní GitHubu jsou tyto fragmenty pro uživatele neviditelné, ale AI model, který čte raw Markdown, je rozpozná. Výsledkem je, že škodlivý příkaz může pro lidi vypadat jako neškodný požadavek na funkci, zatímco pro AI představuje instrukci k provedení akce v repozitáři nebo automatizačním prostředí.
Výzkumníci potvrdili, že takový postup fungoval proti GitHub workflow nástroje Claude Code. Ačkoli Anthropic již některé nástroje umístil do karantény, včetně Bash nástroje pro spouštění příkazů, Microsoft zjistil, že nástroj pro čtení souborů neměl stejná omezení. To umožnilo obejít ochranu a získat přístup k datům, která neměla být v odpovědi modelu zahrnuta.
Při testu Microsoftu se speciálně vytvořený prompt injection payload dokázal vyhnout dvěma ochranným vrstvám a přesvědčit asistenta, aby přečetl systémové soubory s tajnými údaji. Tento scénář je nebezpečný nejen pro jednotlivé vývojáře, ale i pro firmy, které stále častěji připojují AI agenty k repozitářům, build pipeline a interním nástrojům.
Microsoft informoval Anthropic o problému 29. dubna. Oprava byla vydána 5. května ve verzi 2.1.128 Claude Code. Anthropic omezil přístup programu k citlivým souborům v adresáři /proc/, aby zabránil takovému úniku dat. Tento případ ukazuje, že automatizace ve vývoji vyžaduje nejen pohodlné nástroje, ale i přísný bezpečnostní model: jakýkoli text, který agent přečte, se může stát potenciálním příkazem.