Danny Weber
Microsoft löysi Claude Coden GitHub-automaation haavoittuvuuden, joka mahdollistaa salaisuuksien vuotamisen kehoteinjektiolla. Korjaus julkaistu versiossa 2.1.128.
Microsoft on paljastanut haavoittuvuuden, joka koskee Anthropicin Claude Code -työkalun GitHub-automaatiota. Haavoittuvuus voi johtaa salaisuuksien vuotamiseen CI/CD-prosesseista. Microsoft Threat Intelligencen tutkijat havaitsivat, että hyökkääjä voi käyttää kehoteinjektiota (prompt injection) huijatakseen avustajaa lukemaan järjestelmätiedostoja, jotka sisältävät API-avaimia ja muita tunnistetietoja.
Tutkimus sai alkunsa hyökkäysyrityksistä julkisiin repositorioihin, joissa tekoälyä käytetään GitHub-issueiden käsittelyyn ja työnkulkujen automatisointiin. Kehoteinjektio on erityisen vaarallinen tällaisissa tilanteissa: hyökkääjän ei tarvitse saada lupaa muokata projektin koodia. Riittää, että hän jättää GitHub-issuen tai muun tekstiviestin, jonka botti lukee.
Microsoft antaa esimerkin, jossa ohjeet on piilotettu HTML-kommenttien sisään. Normaalissa GitHub-käyttöliittymässä nämä osiot ovat käyttäjille näkymättömiä, mutta tekoälymalli, joka lukee raakaa Markdownia, tunnistaa ne. Tämän seurauksena haitallinen komento voi näyttää ihmisille vaarattomalta ominaisuuspyynnöltä, mutta tekoälylle se on käsky suorittaa toiminto repositoriossa tai automaatioympäristössä.
Tutkijat vahvistivat, että tämä menetelmä toimi Claude Code -GitHub-työnkulkua vastaan. Vaikka Anthropic oli jo hiekkalaatikoinut osan työkaluista, mukaan lukien Bash-työkalun komentojen suorittamiseen, Microsoft havaitsi, että tiedostonlukutyökalua ei oltu rajoitettu samalla tavalla. Tämä mahdollisti suojauksen ohittamisen ja pääsyn tietoihin, joita ei olisi pitänyt sisällyttää mallin vastaukseen.
Microsoftin testissä erityisesti muotoiltu kehoteinjektiohyökkäys onnistui ohittamaan kaksi suojakerrosta ja sai avustajan lukemaan järjestelmätiedostoja, joissa on salaisuuksia. Tämä skenaario on vaarallinen paitsi yksittäisille kehittäjille myös yrityksille, jotka yhä useammin liittävät tekoälyagentteja repositorioihin, build-putkiin ja sisäisiin työkaluihin.
Microsoft ilmoitti tiedoista Anthropicille 29. huhtikuuta. Korjaus julkaistiin 5. toukokuuta Claude Coden versiossa 2.1.128. Anthropic rajoitti ohjelman pääsyä /proc/-hakemiston arkaluonteisiin tiedostoihin estääkseen tällaisen tietojen poiminnan. Tapaus osoittaa, että automaatio kehityksessä vaatii paitsi käteviä työkaluja myös tiukkaa tietoturvamallia: mikä tahansa teksti, jonka agentti lukee, voi periaatteessa olla komento.
© Сгенерировано нейросетью