Microsoft a dezvăluit o vulnerabilitate în Claude Code, instrumentul de automatizare GitHub al Anthropic, care poate permite scurgerea secretelor din procesele CI/CD. Cercetătorii Microsoft Threat Intelligence au constatat că un atacator poate folosi injecția de prompt pentru a păcăli asistentul să citească fișiere de sistem sensibile, inclusiv chei API și alte credențiale.
Investigația a fost declanșată de tentative de atac asupra depozitelor publice în care AI este folosit pentru a procesa problemele GitHub și a automatiza fluxurile de lucru. Injecția de prompt este deosebit de periculoasă aici: un atacator nu are nevoie de permisiunea de a modifica codul proiectului. Este suficient să lase o problemă GitHub sau un alt text pe care botul îl citește.
Microsoft oferă un exemplu cu instrucțiuni ascunse în comentarii HTML. În interfața normală GitHub, aceste fragmente sunt invizibile pentru utilizatori, dar modelul AI, care citește Markdown-ul brut, le recunoaște. Astfel, o comandă rău intenționată poate părea o cerere inofensivă pentru oameni, dar pentru AI devine o instrucțiune de a efectua o acțiune în depozit sau în mediul de automatizare.
Cercetătorii au confirmat că această abordare a funcționat împotriva fluxului de lucru Claude Code pe GitHub. Deși Anthropic izolase deja unele instrumente, inclusiv Bash pentru executarea comenzilor, Microsoft a descoperit că instrumentul de citire a fișierelor nu avea aceleași restricții. Astfel, protecția a putut fi ocolită, permițând accesul la date care nu ar fi trebuit incluse în răspunsul modelului.
În testul Microsoft, o sarcină special creată de injecție de prompt a reușit să ocolească două straturi de protecție și să convingă asistentul să citească fișiere de sistem cu secrete. Acest scenariu este periculos nu doar pentru dezvoltatorii individuali, ci și pentru companii, care conectează tot mai mulți agenți AI la depozite, conducte de construcție și instrumente interne.
Microsoft a raportat problema către Anthropic pe 29 aprilie. Remedierea a fost lansată pe 5 mai, în versiunea 2.1.128 a Claude Code. Anthropic a restricționat accesul programului la fișierele sensibile din directorul /proc/ pentru a preveni extragerea datelor. Cazul arată că automatizarea în dezvoltare necesită nu doar instrumente convenabile, ci și un model de securitate strict: orice text citit de agent poate deveni o comandă.