Microsoft ujawnił lukę w automatyzacji GitHub Claude Code od Anthropic, która może prowadzić do wycieku tajemnic z procesów CI/CD. Badacze z Microsoft Threat Intelligence odkryli, że atakujący może wykorzystać wstrzyknięcie promptu, aby nakłonić asystenta do odczytania wrażliwych plików systemowych zawierających klucze API i inne dane uwierzytelniające.
Dochodzenie było odpowiedzią na próby ataków na publiczne repozytoria, w których sztuczna inteligencja przetwarza zgłoszenia GitHub i automatyzuje przepływy pracy. Wstrzyknięcie promptu jest szczególnie niebezpieczne w takich scenariuszach: atakujący nie potrzebuje uprawnień do modyfikacji kodu projektu. Wystarczy pozostawić zgłoszenie GitHub lub inny tekst odczytywany przez bota.
Microsoft podaje przykład z instrukcjami ukrytymi w komentarzach HTML. W normalnym interfejsie GitHub te fragmenty są niewidoczne dla użytkowników, ale model AI, który czyta surowy Markdown, je rozpoznaje. W rezultacie złośliwe polecenie może wyglądać dla ludzi jak nieszkodliwe żądanie funkcji, podczas gdy dla AI jest instrukcją wykonania działania w repozytorium lub środowisku automatyzacji.
Badacze potwierdzili, że taki mechanizm zadziałał w przypadku przepływu GitHub Claude Code. Mimo że Anthropic odizolował niektóre narzędzia, w tym narzędzie Bash do wykonywania poleceń, Microsoft odkrył, że narzędzie do odczytu plików nie miało takich samych ograniczeń. Pozwoliło to ominąć zabezpieczenia i uzyskać dostęp do danych, które nie powinny znaleźć się w odpowiedzi modelu.
W teście Microsoftu specjalnie spreparowane wstrzyknięcie promptu zdołało ominąć dwie warstwy ochronne i przekonać asystenta do odczytania plików systemowych z tajemnicami. Taki scenariusz jest groźny nie tylko dla indywidualnych programistów, ale także dla firm, które coraz częściej podłączają agentów AI do repozytoriów, potoków budowania i narzędzi wewnętrznych.
Microsoft zgłosił informacje Anthropicowi 29 kwietnia. Łatka została wydana 5 maja w wersji 2.1.128 Claude Code. Anthropic ograniczył dostęp programu do wrażliwych plików w katalogu /proc/, aby zapobiec takiemu wyciekowi danych. Ten przypadek pokazuje, że automatyzacja w rozwoju wymaga nie tylko wygodnych narzędzi, ale także ścisłego modelu bezpieczeństwa: każdy tekst odczytany przez agenta może potencjalnie stać się poleceniem.