Microsoft hat eine Sicherheitslücke in der GitHub-Automatisierung von Anthropics Claude Code offengelegt, die zum Leaken von Geheimnissen aus CI/CD-Prozessen führen könnte. Forscher von Microsoft Threat Intelligence fanden heraus, dass ein Angreifer durch Prompt Injection den Assistenten dazu bringen kann, sensible Systemdateien mit API-Schlüsseln und anderen Zugangsdaten auszulesen.
Der Anlass für die Untersuchung waren Angriffsversuche auf öffentliche Repositories, in denen KI genutzt wird, um GitHub-Issues zu verarbeiten und Workflows zu automatisieren. Prompt Injection ist in solchen Szenarien besonders gefährlich: Ein Angreifer benötigt keine Berechtigung, um den Projektcode zu ändern. Es reicht, ein GitHub-Issue oder einen anderen Text zu hinterlassen, den der Bot liest.
Microsoft zeigt ein Beispiel mit Anweisungen, die in HTML-Kommentaren versteckt sind. In der normalen GitHub-Oberfläche sind diese Fragmente für Nutzer unsichtbar, aber das KI-Modell, das den rohen Markdown liest, erkennt sie. So kann ein bösartiger Befehl für Menschen wie eine harmlose Funktionsanfrage aussehen, während er für die KI eine Anweisung darstellt, eine Aktion im Repository oder in der Automatisierungsumgebung auszuführen.
Die Forscher bestätigten, dass ein solcher Ansatz gegen den Claude-Code-GitHub-Workflow funktionierte. Obwohl Anthropic einige Tools bereits in einer Sandbox isoliert hatte, darunter das Bash-Tool zum Ausführen von Befehlen, entdeckte Microsoft, dass das Dateilesetool nicht dieselben Einschränkungen hatte. Dadurch ließ sich der Schutz umgehen und auf Daten zugreifen, die nicht in die Antwort des Modells hätten einfließen dürfen.
In Microsofts Test gelang es einem speziell präparierten Prompt-Injection-Payload, zwei Schutzschichten zu umgehen und den Assistenten zu überzeugen, Systemdateien mit Geheimnissen zu lesen. Dieses Szenario ist nicht nur für einzelne Entwickler gefährlich, sondern auch für Unternehmen, die zunehmend KI-Agenten mit Repositories, Build-Pipelines und internen Tools verbinden.
Microsoft meldete die Informationen am 29. April an Anthropic. Der Fix wurde am 5. Mai in Version 2.1.128 von Claude Code veröffentlicht. Anthropic schränkte den Zugriff des Programms auf sensible Dateien im /proc/-Verzeichnis ein, um solche Datenextraktionen zu verhindern. Dieser Fall zeigt, dass Automation in der Entwicklung nicht nur praktische Werkzeuge erfordert, sondern auch ein strenges Sicherheitsmodell: Jeder Text, den der Agent liest, kann potenziell zu einem Befehl werden.