Danny Weber
Microsoft ontdekt beveiligingslek in Claude Code GitHub-automatisering. Via promptinjectie kunnen aanvallers geheimen uit CI/CD-processen stelen.
Microsoft heeft een beveiligingslek gemeld in de GitHub-automatisering van Anthropics Claude Code. Het lek kan ertoe leiden dat geheimen uit CI/CD-processen weglekken. Onderzoekers van Microsoft Threat Intelligence ontdekten dat een aanvaller via promptinjectie de assistent kon misleiden om gevoelige systeembestanden uit te lezen, zoals bestanden met API-sleutels en andere credentials.
Aanleiding voor het onderzoek waren aanvalspogingen op publieke repositories waar AI wordt ingezet om GitHub-issues te verwerken en workflows te automatiseren. Promptinjectie is in zulke situaties extra gevaarlijk, omdat een aanvaller geen toestemming nodig heeft om de projectcode aan te passen. Het is voldoende om een GitHub-issue of andere tekstprompt achter te laten die de bot uitleest.
Microsoft geeft een voorbeeld van instructies die zijn verborgen in HTML-commentaar. In de normale GitHub-interface zijn die fragmenten voor gebruikers onzichtbaar, maar het AI-model leest de ruwe Markdown en herkent ze wel. Zo kan een kwaadaardig commando voor mensen op een onschuldig functieverzoek lijken, terwijl het voor de AI een instructie is om een actie uit te voeren in de repository of de automatiseringsomgeving.
De onderzoekers bevestigden dat deze aanpak werkte tegen de Claude Code GitHub-workflow. Anthropic had sommige tools al in een sandbox geplaatst, zoals de Bash-tool voor het uitvoeren van commando's, maar Microsoft ontdekte dat de tool voor het lezen van bestanden niet dezelfde beperkingen had. Daardoor was het mogelijk de beveiliging te omzeilen en toegang te krijgen tot gegevens die niet in de uitvoer van het model thuishoorden.
Bij de test van Microsoft wist een speciaal ontworpen promptinjectie-payload twee beveiligingslagen te omzeilen en de assistent te bewegen systeembestanden met geheimen uit te lezen. Dit is niet alleen gevaarlijk voor individuele ontwikkelaars, maar ook voor bedrijven die steeds vaker AI-agents aan repositories, buildpipelines en interne tools koppelen.
Microsoft meldde de informatie op 29 april aan Anthropic. De fix verscheen op 5 mei in versie 2.1.128 van Claude Code. Anthropic beperkte de toegang van het programma tot gevoelige bestanden in de /proc/-map om dergelijke data-extractie te voorkomen. Dit geval laat zien dat automatisering in ontwikkeling niet alleen handige tools vraagt, maar ook een strikt beveiligingsmodel: elke tekst die de agent leest, kan in principe een commando zijn.
© Сгенерировано нейросетью