Ibinunyag ng mga mananaliksik ng Microsoft ang isang kahinaan, na naayos na ngayon, sa Claude Code GitHub Action ng Anthropic na maaaring nagpahintulot sa mga attacker na mailantad ang mga credential na nakaimbak sa mga software development pipeline sa pamamagitan ng pagmamanipula sa AI agent gamit ang malisyosong nilalaman ng GitHub.
Sa isang blog post noong Biyernes, nagbabala ang Microsoft na ang mga AI coding agent na tumatakbo sa loob ng mga CI/CD workflow ay maaaring lumikha ng mga bagong panganib sa seguridad dahil ang mga kapaligirang iyon ay madalas na may access sa mga API key, cloud credential, at iba pang sensitibong impormasyon.
“Sinimulan namin ang pananaliksik na ito matapos naming mapansin ang mga pagtatangka ng prompt injection sa mga pampublikong repository gamit ang mga AI-assisted GitHub workflow sa iba't ibang vendor, kung saan ang isyu o [pull requests] na kontrolado ng attacker, ang nilalaman ay pinoproseso ng AI agent at maaaring makaimpluwensya sa paggamit nito ng tool,” isinulat ng Microsoft.
Sa GitHub, ang isang pull request ay nagpapahintulot sa mga developer na magmungkahi ng mga pagbabago sa isang code repository at ipa-review ang mga pagbabagong iyon bago sila aprubahan at pagsamahin.
Ang ulat ay lumabas habang ang mga prompt injection attack ay lumilitaw bilang isa sa pinakamalaking banta sa seguridad na kinakaharap ng mga AI agent. Sa isang prompt injection attack, itinatago ng isang attacker ang mga instruksyon sa nilalaman tulad ng mga email, dokumento, website, o code comment, na nagiging sanhi upang sundin ng AI system ang mga instruksyon na iyon sa halip na ang sa gumagamit.
Inilunsad noong Oktubre, ang Claude Code ay ang AI coding agent ng Anthropic para sa mga gawain sa software development. Napansin ang tool noong Marso matapos aksidenteng na-leak ng Anthropic ang mahigit 500,000 linya ng source code nito, na naglantad ng mga detalye ng panloob na arkitektura nito at nag-udyok ng malawakang pagsusuri ng mga mananaliksik at developer.
Ayon sa Microsoft, maaaring gamitin ng mga attacker ang mga prompt injection attack na nakatago sa mga isyu sa GitHub, mga pull request, o mga komento upang manipulahin ang Claude Code na ma-access ang mga file na naglalaman ng sensitibong credential.
Upang subukan ang kahinaan, lumikha ang Microsoft ng isang GitHub workflow at itinago ang mga malisyosong instruksyon sa likod ng nilalaman na naka-host sa isang domain na kontrolado nito, na nagpapahintulot sa mga mananaliksik na lampasan ang mga proteksyon sa seguridad ng Claude. Linoko ng prompt injection attack si Claude na basahin ang mga sensitibong credential at baguhin ang mga ito upang makaiwas sa parehong mga panseguridad ni Claude at sa mga tool ng GitHub sa pag-scan ng sikreto. Sinabi ng Microsoft na maaaring buuin muli ng isang attacker ang credential at ilabas ito sa pamamagitan ng mga komento sa isyu, workflow logs, web request, o shell command.
“Upang lampasan ang mga mekanismo ng pagtanggi sa seguridad ng Sonnet, itinago namin ang shell payload sa likod ng isang tugon mula sa aming kontroladong domain," sabi ng kumpanya. "Pinagana din namin ang workflow na ma-trigger ng mga user na walang 'write' permissions upang matiyak na aktibo ang mga mitigasyon ng paglilinis ng environment variable ng Anthropic sa panahon ng aming mga pagsubok.”
Inayos ng Anthropic ang depekto noong Mayo 5 sa Claude Code version 2.1.128 matapos ibunyag ng Microsoft ang kahinaan sa pamamagitan ng HackerOne noong Abril 29.
Sa kabila ng maraming layer ng built-in na kontrol sa seguridad, natuklasan ng Microsoft na ang isang determinadong attacker ay maaaring manipulahin ang isang AI agent upang mailantad ang sensitibong impormasyon.
“Pumapasok tayo sa isang panahon kung saan ang natural na wika ay executable code, at ang mga input na hindi pinagkakatiwalaan tulad ng mga isyu sa GitHub ay dapat tratuhin bilang pagalit bilang default,” sabi nito. “Ang isang nag-iisang, maingat na ginawang komento na sinamahan ng isang hindi nauunawaang trust boundary ay sapat na upang makuha ang mga production credential.”
