Microsoft-Forscher haben eine inzwischen behobene Schwachstelle in Anthropic's Claude Code GitHub Action offengelegt, die es Angreifern ermöglicht hätte, in Softwareentwicklungs-Pipelines gespeicherte Zugangsdaten preiszugeben, indem sie den KI-Agenten über bösartige GitHub-Inhalte manipulierten.
In einem Blogbeitrag am Freitag warnte Microsoft, dass KI-Code-Agenten, die in CI/CD-Workflows ausgeführt werden, neue Sicherheitsrisiken schaffen könnten, da diese Umgebungen oft Zugriff auf API-Schlüssel, Cloud-Zugangsdaten und andere sensible Informationen haben.
„Wir begannen diese Forschung, nachdem wir Prompt-Injection-Versuche in öffentlichen Repositories unter Verwendung von KI-gestützten GitHub-Workflows bei mehreren Anbietern beobachteten, bei denen Angreifer-kontrollierte Issues oder [Pull-Requests]-Inhalte vom KI-Agenten verarbeitet werden und dessen Tool-Nutzung beeinflussen könnten“, schrieb Microsoft.
Auf GitHub ermöglicht ein Pull-Request Entwicklern, Änderungen an einem Code-Repository vorzuschlagen und diese Änderungen überprüfen zu lassen, bevor sie genehmigt und zusammengeführt werden.
Der Bericht erscheint zu einer Zeit, in der Prompt-Injection-Angriffe zu einer der größten Sicherheitsbedrohungen für KI-Agenten geworden sind. Bei einem Prompt-Injection-Angriff versteckt ein Angreifer Anweisungen in Inhalten wie E-Mails, Dokumenten, Websites oder Code-Kommentaren, wodurch ein KI-System diese Anweisungen anstelle der des Benutzers befolgt.
Im Oktober gestartet, ist Claude Code Anthropic's KI-Code-Agent für Softwareentwicklungsaufgaben. Das Tool geriet im März in den Fokus, nachdem Anthropic versehentlich mehr als 500.000 Zeilen seines Quellcodes geleakt hatte, was Details seiner internen Architektur enthüllte und eine weitreichende Analyse durch Forscher und Entwickler auslöste.
Laut Microsoft könnten Angreifer Prompt-Injection-Angriffe, die in GitHub-Issues, Pull-Requests oder Kommentaren versteckt sind, nutzen, um Claude Code dazu zu manipulieren, auf Dateien mit sensiblen Zugangsdaten zuzugreifen.
Um die Schwachstelle zu testen, erstellte Microsoft einen GitHub-Workflow und tarnte bösartige Anweisungen hinter Inhalten, die auf einer von ihm kontrollierten Domain gehostet wurden, wodurch die Forscher Claudes Sicherheitsschutzmaßnahmen umgehen konnten. Der Prompt-Injection-Angriff täuschte Claude vor, sensible Zugangsdaten zu lesen und sie so zu ändern, dass sowohl Claudes Schutzmaßnahmen als auch GitHubs Tools zur Geheimnis-Erkennung umgangen wurden. Microsoft sagte, ein Angreifer könnte die Zugangsdaten dann rekonstruieren und sie über Issue-Kommentare, Workflow-Logs, Webanfragen oder Shell-Befehle exfiltrieren.
„Um Sonnets Verweigerungs-Sicherheitsmechanismen zu umgehen, verbargen wir die Shell-Payload hinter einer Antwort von unserer kontrollierten Domain", sagte das Unternehmen. „Wir haben den Workflow auch so konfiguriert, dass er von Benutzern ohne 'Schreibberechtigungen' ausgelöst werden kann, um sicherzustellen, dass Anthropic's Umgebungs-Variablen-Säuberungsmaßnahmen während unserer Tests aktiv waren."
Anthropic hat den Fehler am 5. Mai mit Claude Code Version 2.1.128 behoben, nachdem Microsoft die Schwachstelle am 29. April über HackerOne offengelegt hatte.
Trotz mehrerer Ebenen integrierter Sicherheitskontrollen fand Microsoft heraus, dass ein entschlossener Angreifer potenziell einen KI-Agenten manipulieren könnte, um sensible Informationen preiszugeben.
„Wir treten in eine Ära ein, in der natürliche Sprache ausführbarer Code ist, und nicht vertrauenswürdige Eingaben wie GitHub-Issues müssen standardmäßig als feindselig behandelt werden“, hieß es. „Ein einziger, sorgfältig ausgearbeiteter Kommentar, kombiniert mit einer missverstandenen Vertrauensgrenze, ist alles, was es braucht, um mit Produktionszugangsdaten davonzukommen.“
