Microsoft har avslöjat en sårbarhet i Anthropics Claude Code GitHub-automatisering som kan leda till att hemligheter läcker från CI/CD-processer. Forskare på Microsoft Threat Intelligence fann att en angripare med hjälp av prompt injection kunde lura assistenten att läsa känsliga systemfiler med API-nycklar och andra autentiseringsuppgifter.
Utredningen startade efter attacker mot publika repositories där AI används för att hantera GitHub-ärenden och automatisera arbetsflöden. Prompt injection är särskilt farligt i sådana scenarier: angriparen behöver inte behörighet att ändra projektkoden. Det räcker att lämna en GitHub-issue eller annan textprompt som boten läser.
Microsoft ger ett exempel med instruktioner gömda i HTML-kommentarer. I det vanliga GitHub-gränssnittet är dessa fragment osynliga för användare, men AI-modellen, som läser den råa Markdown-koden, känner igen dem. Resultatet blir att en illvillig kommandosekvens för människor ser ut som en harmlös funktionsförfrågan, medan den för AI:n är en instruktion att utföra en handling i repositoryt eller automatiseringsmiljön.
Forskarna bekräftade att en sådan metod fungerade mot Claude Code GitHub-arbetsflödet. Även om Anthropic redan hade sandlådat vissa verktyg, inklusive Bash-verktyget för att utföra kommandon, upptäckte Microsoft att fil-läsningsverktyget inte hade samma begränsningar. Detta gjorde det möjligt att kringgå skyddet och få tillgång till data som inte borde ha inkluderats i modellens svar.
I Microsofts test lyckades en specialgjord prompt injection-nyttolast kringgå två skyddslager och övertyga assistenten att läsa systemfiler med hemligheter. Scenariot är farligt inte bara för enskilda utvecklare utan även för företag som i allt högre utsträckning kopplar AI-agenter till repositories, byggpipelines och interna verktyg.
Microsoft rapporterade informationen till Anthropic den 29 april. Korrigeringen släpptes den 5 maj i version 2.1.128 av Claude Code. Anthropic begränsade programmets åtkomst till känsliga filer i katalogen /proc/ för att förhindra sådan dataläckage. Fallet visar att automatisering inom utveckling inte bara kräver bekväma verktyg utan också en strikt säkerhetsmodell: all text som agenten läser kan potentiellt bli ett kommando.