Microsoft ha reso nota una vulnerabilità nell'automazione GitHub di Claude Code di Anthropic che potrebbe causare la fuoriuscita di segreti dai processi CI/CD. I ricercatori di Microsoft Threat Intelligence hanno scoperto che un attaccante potrebbe usare un'iniezione di prompt per indurre l'assistente a leggere file di sistema sensibili contenenti chiavi API e altre credenziali.
L'indagine è stata avviata dopo tentativi di attacco a repository pubblici in cui l'intelligenza artificiale viene impiegata per elaborare issue di GitHub e automatizzare flussi di lavoro. L'iniezione di prompt è particolarmente pericolosa in questi scenari: un attaccante non necessita di autorizzazioni per modificare il codice del progetto. Basta lasciare un issue GitHub o altro testo prompt che il bot legge per essere sufficiente.
Microsoft fornisce un esempio con istruzioni nascoste all'interno di commenti HTML. Nell'interfaccia normale di GitHub quei frammenti sono invisibili agli utenti, ma il modello di IA, che legge il Markdown grezzo, li riconosce. Di conseguenza, un comando malevolo può apparire come una richiesta di funzionalità innocua agli occhi umani, mentre per l'IA si presenta come un'istruzione da eseguire nel repository o nell'ambiente di automazione.
I ricercatori hanno confermato che tale approccio ha funzionato contro il flusso di lavoro Claude Code su GitHub. Sebbene Anthropic avesse già isolato alcuni strumenti, tra cui lo strumento Bash per eseguire comandi, Microsoft ha scoperto che lo strumento di lettura file non aveva le stesse restrizioni. Ciò ha permesso di aggirare la protezione e ottenere accesso a dati che non avrebbero dovuto essere inclusi nella risposta del modello.
Nel test di Microsoft, un payload di iniezione di prompt appositamente creato è riuscito a superare due livelli di protezione e convincere l'assistente a leggere file di sistema contenenti segreti. Questo scenario è pericoloso non solo per i singoli sviluppatori, ma anche per le aziende che collegano sempre più spesso agenti AI a repository, pipeline di build e strumenti interni.
Microsoft ha segnalato l'informazione ad Anthropic il 29 aprile. La correzione è stata rilasciata il 5 maggio nella versione 2.1.128 di Claude Code. Anthropic ha limitato l'accesso del programma a file sensibili nella directory /proc/ per prevenire tale estrazione di dati. Questo caso dimostra che l'automazione nello sviluppo richiede non solo strumenti comodi, ma anche un modello di sicurezza rigoroso: qualsiasi testo letto dall'agente può potenzialmente diventare un comando.