Des chercheurs de Microsoft ont révélé une vulnérabilité, désormais corrigée, dans l'Action GitHub Claude Code d'Anthropic, qui aurait pu permettre à des attaquants d'exposer des identifiants stockés dans les pipelines de développement logiciel en manipulant l'agent IA via du contenu GitHub malveillant.
Dans un article de blog publié vendredi, Microsoft a averti que les agents de codage IA fonctionnant au sein des flux de travail CI/CD pourraient créer de nouveaux risques de sécurité, car ces environnements ont souvent accès à des clés API, des identifiants cloud et d'autres informations sensibles.
« Nous avons commencé cette recherche après avoir observé des tentatives d'injection de prompt dans des dépôts publics utilisant des flux de travail GitHub assistés par IA chez plusieurs fournisseurs, où du contenu contrôlé par l'attaquant (problèmes ou [requêtes de tirage]) est traité par l'agent IA et pourrait influencer son utilisation d'outils », a écrit Microsoft.
Sur GitHub, une requête de tirage (pull request) permet aux développeurs de proposer des modifications à un dépôt de code et de faire examiner ces modifications avant qu'elles ne soient approuvées et fusionnées.
Ce rapport intervient alors que les attaques par injection de prompt sont devenues l'une des plus grandes menaces de sécurité pour les agents IA. Dans une attaque par injection de prompt, un attaquant dissimule des instructions dans du contenu tel que des e-mails, des documents, des sites web ou des commentaires de code, ce qui amène un système IA à suivre ces instructions au lieu de celles de l'utilisateur.
Lancé en octobre, Claude Code est l'agent de codage IA d'Anthropic pour les tâches de développement logiciel. L'outil a fait l'objet d'un examen minutieux en mars après qu'Anthropic a accidentellement divulgué plus de 500 000 lignes de son code source, exposant les détails de son architecture interne et suscitant une analyse approfondie de la part des chercheurs et des développeurs.
Selon Microsoft, les attaquants pourraient utiliser des attaques par injection de prompt dissimulées dans des problèmes GitHub, des requêtes de tirage ou des commentaires pour manipuler Claude Code afin qu'il accède à des fichiers contenant des identifiants sensibles.
Pour tester la vulnérabilité, Microsoft a créé un flux de travail GitHub et a dissimulé des instructions malveillantes derrière du contenu hébergé sur un domaine qu'il contrôlait, permettant aux chercheurs de contourner les protections de sécurité de Claude. L'attaque par injection de prompt a trompé Claude en le poussant à lire des identifiants sensibles et à les modifier pour échapper aux protections de Claude et aux outils de détection de secrets de GitHub. Microsoft a déclaré qu'un attaquant pourrait alors reconstruire l'identifiant et l'exfiltrer via des commentaires de problèmes, des journaux de flux de travail, des requêtes web ou des commandes shell.
« Pour contourner les mécanismes de refus de sécurité de Sonnet, nous avons masqué la charge utile du shell derrière une réponse de notre domaine contrôlé », a déclaré la firme. « Nous avons également permis que le flux de travail soit déclenché par des utilisateurs sans autorisations d'écriture afin de garantir que les mesures d'atténuation de nettoyage des variables d'environnement d'Anthropic étaient actives pendant nos tests. »
Anthropic a corrigé la faille le 5 mai avec la version 2.1.128 de Claude Code après que Microsoft a divulgué la vulnérabilité via HackerOne le 29 avril.
Malgré les multiples couches de contrôles de sécurité intégrés, Microsoft a constaté qu'un attaquant déterminé pourrait potentiellement manipuler un agent IA pour qu'il expose des informations sensibles.
« Nous entrons dans une ère où le langage naturel est du code exécutable, et les entrées non fiables comme les problèmes GitHub doivent être traitées comme hostiles par défaut », a-t-il déclaré. « Un seul commentaire soigneusement élaboré, combiné à une limite de confiance mal comprise, suffit pour s'emparer des identifiants de production. »
