A Microsoft sebezhetőséget tárt fel az Anthropic Claude Code GitHub-automatizálásában, amely titkok kiszivárgásához vezethet a CI/CD-folyamatokból. A Microsoft fenyegetésfelderítő szakemberei felfedezték, hogy egy támadó prompt injekció segítségével ráveheti az asszisztenst érzékeny rendszerfájlok beolvasására, amelyek API-kulcsokat és más hitelesítő adatokat tartalmaznak.
A vizsgálatot azok a támadási kísérletek indították el, amelyek nyilvános tárolók ellen irányultak, ahol a mesterséges intelligenciát használják GitHub-ügyek feldolgozására és munkafolyamatok automatizálására. A prompt injekció különösen veszélyes ilyen forgatókönyvek esetén: a támadónak nincs szüksége engedélyre a projektkód módosításához. Elég, ha egy GitHub-ügyet vagy más szöveges promptot hagy, amelyet a bot elolvas.
A Microsoft példát ad a HTML-megjegyzésekbe rejtett utasításokra. A normál GitHub-felületen ezek a töredékek láthatatlanok a felhasználók számára, de az AI-modell, amely a nyers Markdown-t olvassa, felismeri őket. Így egy rosszindulatú parancs ártalmatlan funkciókérésnek tűnhet az emberek számára, miközben utasításként szolgál az AI számára, hogy végrehajtson egy műveletet a tárolóban vagy az automatizálási környezetben.
A kutatók megerősítették, hogy egy ilyen megközelítés működött a Claude Code GitHub-munkafolyamattal szemben. Bár az Anthropic már sandboxolt néhány eszközt, köztük a Bash-eszközt a parancsok végrehajtására, a Microsoft felfedezte, hogy a fájlolvasó eszköz nem rendelkezett ugyanazokkal a korlátozásokkal. Ez lehetővé tette a védelem megkerülését és olyan adatokhoz való hozzáférést, amelyek nem kerülhettek volna a modell válaszába.
A Microsoft tesztjében egy speciálisan elkészített prompt injekciós rakomány két védelmi rétegen is áthatolt, és meggyőzte az asszisztenst, hogy olvassa be a titkokat tartalmazó rendszerfájlokat. Ez a forgatókönyv nemcsak egyéni fejlesztők számára veszélyes, hanem azon cégek számára is, amelyek egyre inkább kapcsolják az AI-ügynököket tárolókhoz, build-pipeline-okhoz és belső eszközökhöz.
A Microsoft április 29-én jelentette az információt az Anthropicnak. A javítást május 5-én adták ki a Claude Code 2.1.128-as verziójában. Az Anthropic korlátozta a program hozzáférését a /proc/ könyvtár érzékeny fájljaihoz, hogy megakadályozza az ilyen adatkinyerést. Ez az eset azt mutatja, hogy az automatizálás a fejlesztésben nemcsak kényelmes eszközöket, hanem szigorú biztonsági modellt is igényel: minden szöveg, amit az ügynök elolvas, potenciálisan paranccsá válhat.