マイクロソフトは、AnthropicのClaude CodeによるGitHub自動化に脆弱性があると発表した。この脆弱性を悪用すると、CI/CDプロセスから秘密情報が漏えいする恐れがある。Microsoft Threat Intelligenceの研究者によると、攻撃者はプロンプトインジェクションを用いて、AIアシスタントにAPIキーなどの機密ファイルを読み取らせることが可能だったという。
調査の発端は、AIを使ってGitHubのIssue処理やワークフロー自動化を行う公開リポジトリへの攻撃試行だった。プロンプトインジェクションはこうした環境で特に危険だ。攻撃者はコードを直接変更する権限を必要とせず、ボットが読むIssueやテキストを残すだけで攻撃が成立する。
マイクロソフトは具体例として、HTMLコメント内に隠した指示を示している。通常のGitHubインターフェースではこの断片は見えないが、生のMarkdownを読むAIモデルは認識する。その結果、人間には無害な機能要望に見える一方で、AIに対してはリポジトリ内での操作を指示する命令として機能してしまう。
研究者は、この手法がClaude CodeのGitHubワークフローに対して実際に有効であることを確認した。Anthropicは既にBashツールなどの一部のツールをサンドボックス化していたが、ファイル読み取りツールには同様の制限がなく、保護を回避して本来返答に含まれるべきでないデータへのアクセスが可能になっていた。
マイクロソフトのテストでは、2つの防御層を突破するように細工されたプロンプトが、秘密情報が含まれるシステムファイルを読み取らせることに成功している。この問題は個人の開発者だけでなく、リポジトリやビルドパイプライン、社内ツールとAIエージェントを連携させる企業にとっても深刻だ。
マイクロソフトは4月29日にこの問題をAnthropicに報告。修正は5月5日、Claude Codeバージョン2.1.128で提供され、/proc/ディレクトリ内の機密ファイルへのアクセスが制限された。この事例は、開発の自動化には利便性だけでなく厳格なセキュリティモデルが不可欠であり、エージェントが読み取るテキストは全て命令になり得ることを示している。