Peneliti Microsoft mengungkapkan kerentanan yang kini telah ditambal dalam Anthropic's Claude Code GitHub Action yang dapat memungkinkan penyerang membocorkan kredensial yang tersimpan dalam alur pengembangan perangkat lunak dengan memanipulasi agen AI melalui konten GitHub yang berbahaya.

Dalam sebuah posting blog pada hari Jumat, Microsoft memperingatkan bahwa agen coding AI yang berjalan di dalam alur kerja CI/CD dapat menciptakan risiko keamanan baru karena lingkungan tersebut sering memiliki akses ke kunci API, kredensial cloud, dan informasi sensitif lainnya.

“Kami memulai penelitian ini setelah mengamati upaya injeksi prompt di repositori publik menggunakan alur kerja GitHub yang dibantu AI di berbagai vendor, di mana isu atau [pull request] yang dikendalikan penyerang, konten diproses oleh agen AI dan dapat memengaruhi penggunaan alatnya,” tulis Microsoft.

Di GitHub, pull request memungkinkan pengembang untuk mengusulkan perubahan pada repositori kode dan agar perubahan tersebut ditinjau sebelum disetujui dan digabungkan.

Laporan ini muncul karena serangan injeksi prompt telah menjadi salah satu ancaman keamanan terbesar yang dihadapi agen AI. Dalam serangan injeksi prompt, penyerang menyembunyikan instruksi dalam konten seperti email, dokumen, situs web, atau komentar kode, menyebabkan sistem AI mengikuti instruksi tersebut alih-alih instruksi pengguna.

Diluncurkan pada bulan Oktober, Claude Code adalah agen coding AI Anthropic untuk tugas pengembangan perangkat lunak. Alat ini menarik perhatian pada bulan Maret setelah Anthropic secara tidak sengaja membocorkan lebih dari 500.000 baris kode sumbernya, mengungkap detail arsitektur internalnya dan memicu analisis luas oleh peneliti dan pengembang.

Menurut Microsoft, penyerang dapat menggunakan serangan injeksi prompt yang tersembunyi dalam isu GitHub, pull request, atau komentar untuk memanipulasi Claude Code agar mengakses file yang berisi kredensial sensitif.

Untuk menguji kerentanan tersebut, Microsoft membuat alur kerja GitHub dan menyamarkan instruksi berbahaya di balik konten yang dihosting di domain yang dikendalikannya, memungkinkan para peneliti untuk melewati perlindungan keamanan Claude. Serangan injeksi prompt memperdaya Claude untuk membaca kredensial sensitif dan mengubahnya untuk menghindari perlindungan Claude dan alat pemindaian rahasia GitHub. Microsoft mengatakan penyerang kemudian dapat merekonstruksi kredensial dan mengeksfiltrasi melalui komentar isu, log alur kerja, permintaan web, atau perintah shell.

“Untuk melewati mekanisme keamanan penolakan Sonnet, kami mengaburkan payload shell di balik respons dari domain yang kami kendalikan," kata perusahaan itu. "Kami juga mengaktifkan alur kerja agar dapat dipicu oleh pengguna tanpa izin 'tulis' untuk memastikan mitigasi pembersihan variabel lingkungan Anthropic aktif selama pengujian kami.”

Anthropic menambal celah tersebut pada 5 Mei dengan Claude Code versi 2.1.128 setelah Microsoft mengungkapkan kerentanan tersebut melalui HackerOne pada 29 April.

Meskipun ada berbagai lapisan kontrol keamanan bawaan, Microsoft menemukan bahwa penyerang yang gigih berpotensi memanipulasi agen AI untuk membocorkan informasi sensitif.

“Kita memasuki era di mana bahasa alami adalah kode yang dapat dieksekusi, dan input yang tidak terpercaya seperti isu GitHub harus diperlakukan sebagai bermusuhan secara default,” katanya. “Satu komentar yang dirancang dengan cermat dikombinasikan dengan batas kepercayaan yang salah dipahami sudah cukup untuk mendapatkan kredensial produksi.”