Microsoft a révélé une vulnérabilité dans l'automatisation GitHub de Claude Code d'Anthropic qui pourrait entraîner des fuites de secrets depuis les processus CI/CD. Les chercheurs de Microsoft Threat Intelligence ont découvert qu'un attaquant pouvait utiliser l'injection de prompt pour amener l'assistant à lire des fichiers système sensibles contenant des clés API et autres identifiants.
L'enquête fait suite à des tentatives d'attaque sur des dépôts publics où l'IA est utilisée pour traiter les issues GitHub et automatiser les workflows. Dans ce type de scénario, l'injection de prompt est particulièrement dangereuse : un attaquant n'a pas besoin d'autorisation pour modifier le code du projet. Il suffit de laisser une issue GitHub ou un autre texte que le bot analyse.
Microsoft donne l'exemple d'instructions cachées dans des commentaires HTML. Dans l'interface normale de GitHub, ces fragments sont invisibles pour les utilisateurs, mais le modèle d'IA, qui lit le Markdown brut, les reconnaît. Ainsi, une commande malveillante peut ressembler à une demande de fonctionnalité inoffensive pour les humains, tout en étant interprétée comme une instruction pour l'IA d'agir dans le dépôt ou l'environnement d'automatisation.
Les chercheurs ont confirmé que cette approche fonctionnait contre le workflow GitHub de Claude Code. Bien qu'Anthropic ait déjà isolé certains outils, dont l'outil Bash pour exécuter des commandes, Microsoft a découvert que l'outil de lecture de fichiers n'avait pas les mêmes restrictions. Cela a permis de contourner la protection et d'accéder à des données qui n'auraient pas dû figurer dans la réponse du modèle.
Lors du test de Microsoft, une charge utile d'injection de prompt spécialement conçue a réussi à contourner deux couches de protection et à convaincre l'assistant de lire des fichiers système contenant des secrets. Ce scénario est dangereux non seulement pour les développeurs individuels, mais aussi pour les entreprises qui connectent de plus en plus des agents d'IA à des dépôts, des pipelines de build et des outils internes.
Microsoft a signalé l'information à Anthropic le 29 avril. Le correctif a été publié le 5 mai dans la version 2.1.128 de Claude Code. Anthropic a restreint l'accès du programme aux fichiers sensibles dans le répertoire /proc/ pour empêcher une telle extraction de données. Ce cas montre que l'automatisation dans le développement nécessite non seulement des outils pratiques, mais aussi un modèle de sécurité strict : tout texte que l'agent lit peut potentiellement devenir une commande.