Badacze Microsoftu ujawnili załataną już lukę w Claude Code GitHub Action firmy Anthropic, która mogła pozwolić atakującym na ujawnienie danych uwierzytelniających przechowywanych w potokach tworzenia oprogramowania poprzez manipulowanie agentem AI za pomocą złośliwej zawartości GitHub.

W piątkowym poście na blogu Microsoft ostrzegł, że agenci AI do kodowania działający w ramach przepływów pracy CI/CD mogą tworzyć nowe zagrożenia bezpieczeństwa, ponieważ te środowiska często mają dostęp do kluczy API, danych uwierzytelniających w chmurze i innych wrażliwych informacji.

„Rozpoczęliśmy te badania po zaobserwowaniu prób ataku prompt injection w publicznych repozytoriach wykorzystujących przepływy pracy GitHub wspomagane przez AI u wielu dostawców, gdzie zawartość kontrolowana przez atakującego, np. zgłoszenie lub [żądanie zmian], jest przetwarzana przez agenta AI i może wpływać na jego użycie narzędzi” – napisał Microsoft.

Na GitHubie, żądanie zmian (pull request) pozwala deweloperom proponować zmiany w repozytorium kodu i poddawać je przeglądowi, zanim zostaną zatwierdzone i połączone.

Raport pojawia się w momencie, gdy ataki typu prompt injection stały się jednym z największych zagrożeń bezpieczeństwa dla agentów AI. W ataku prompt injection atakujący ukrywa instrukcje w treściach takich jak e-maile, dokumenty, strony internetowe lub komentarze do kodu, powodując, że system AI podąża za tymi instrukcjami zamiast za instrukcjami użytkownika.

Uruchomiony w październiku, Claude Code to agent AI do kodowania Anthropic, przeznaczony do zadań związanych z tworzeniem oprogramowania. Narzędzie wzbudziło zainteresowanie w marcu po tym, jak Anthropic przypadkowo ujawnił ponad 500 000 linii swojego kodu źródłowego, ujawniając szczegóły swojej wewnętrznej architektury i wywołując szeroką analizę ze strony badaczy i deweloperów.

Według Microsoftu, atakujący mogli wykorzystać ataki typu prompt injection ukryte w zgłoszeniach GitHub, żądaniach zmian lub komentarzach, aby manipulować Claude Code w celu uzyskania dostępu do plików zawierających wrażliwe dane uwierzytelniające.

Aby przetestować lukę, Microsoft stworzył przepływ pracy GitHub i ukrył złośliwe instrukcje za treściami hostowanymi na kontrolowanej przez siebie domenie, co pozwoliło badaczom ominąć zabezpieczenia Claude'a. Atak prompt injection oszukał Claude'a, aby odczytał wrażliwe dane uwierzytelniające i zmienił je w celu ominięcia zarówno zabezpieczeń Claude'a, jak i narzędzi GitHub do skanowania sekretów. Microsoft stwierdził, że atakujący mógł następnie odtworzyć dane uwierzytelniające i wykraść je za pomocą komentarzy do zgłoszeń, logów przepływu pracy, żądań sieciowych lub poleceń shellowych.

„Aby ominąć mechanizmy bezpieczeństwa Sonnet związane z odmową, ukryliśmy ładunek shella za odpowiedzią z naszej kontrolowanej domeny” – podała firma. „Umożliwiliśmy również uruchamianie przepływu pracy przez użytkowników bez uprawnień do zapisu, aby upewnić się, że środki zaradcze Anthropic dotyczące czyszczenia zmiennych środowiskowych były aktywne podczas naszych testów.”

Anthropic załatał lukę 5 maja w wersji Claude Code 2.1.128, po tym jak Microsoft ujawnił tę podatność za pośrednictwem HackerOne 29 kwietnia.

Pomimo wielu warstw wbudowanych mechanizmów kontroli bezpieczeństwa, Microsoft odkrył, że zdeterminowany atakujący mógł potencjalnie manipulować agentem AI w celu ujawnienia wrażliwych informacji.

„Wkraczamy w erę, w której język naturalny jest kodem wykonywalnym, a niezaufane dane wejściowe, takie jak zgłoszenia GitHub, muszą być domyślnie traktowane jako wrogie” – stwierdził. „Pojedynczy, starannie spreparowany komentarz w połączeniu z źle zrozumianą granicą zaufania to wszystko, czego potrzeba, aby wykraść dane uwierzytelniające środowiska produkcyjnego.”