Microsoft avdekker sårbarhet i Claude Code som kan lekke hemmeligheter

Microsoft har avdekket en sårbarhet i Anthropics Claude Code GitHub-automatisering som kan føre til at hemmeligheter lekker fra CI/CD-prosesser. Forskere hos Microsoft Threat Intelligence fant at en angriper kunne bruke prompt injection for å lure assistenten til å lese sensitive systemfiler med API-nøkler og andre legitimasjonsopplysninger.

Undersøkelsen ble utløst av angrepsforsøk på offentlige repositoryer der AI brukes til å behandle GitHub-saker og automatisere arbeidsflyter. Prompt injection er spesielt farlig i slike scenarier: en angriper trenger ikke tillatelse til å endre prosjektkoden. Det kan være nok å legge igjen en GitHub-sak eller annen tekst som boten leser.

Microsoft gir et eksempel med instruksjoner skjult i HTML-kommentarer. I det vanlige GitHub-grensesnittet er disse fragmentene usynlige for brukere, men AI-modellen, som leser rå Markdown, oppdager dem. Dermed kan en ondsinnet kommando se ut som en harmløs funksjonsforespørsel for mennesker, samtidig som den fremstår som en instruksjon for AI-en om å utføre en handling i repositoryet eller automatiseringsmiljøet.

Forskerne bekreftet at en slik tilnærming fungerte mot Claude Code GitHub-arbeidsflyten. Selv om Anthropic allerede hadde sandkasselagt enkelte verktøy, inkludert Bash-verktøyet for å kjøre kommandoer, oppdaget Microsoft at fil-lesingsverktøyet ikke hadde de samme begrensningene. Dette gjorde det mulig å omgå beskyttelsen og få tilgang til data som ikke skulle ha vært inkludert i modellens svar.

I Microsofts test klarte en spesiallaget prompt injection-nyttelast å omgå to beskyttelseslag og overbevise assistenten om å lese systemfiler med hemmeligheter. Dette scenariet er farlig ikke bare for individuelle utviklere, men også for selskaper som i økende grad kobler AI-agenter til repositoryer, byggepipeliner og interne verktøy.

Microsoft rapporterte informasjonen til Anthropic 29. april. Rettingen ble sluppet 5. mai i versjon 2.1.128 av Claude Code. Anthropic begrenset programmets tilgang til sensitive filer i /proc/-katalogen for å forhindre slik datauthenting. Denne saken viser at automatisering i utvikling ikke bare krever praktiske verktøy, men også en streng sikkerhetsmodell: enhver tekst agenten leser, kan potensielt bli en kommando.