Trang chủTrung tâm tin tức LBank
Lỗ hổng mã Claude có thể khiến kẻ tấn công đánh cắp thông tin đăng nhập từ GitHub, Microsoft cho biết
claude-code-vulnerability-attackers-steal-credentials-github-microsoft
Lỗ hổng mã Claude có thể khiến kẻ tấn công đánh cắp thông tin đăng nhập từ GitHub, Microsoft cho biết
Các nhà nghiên cứu cho biết các cuộc tấn công tiêm nhiễm câu lệnh có thể thao túng các tác nhân AI lập trình để truy cập thông tin xác thực nhạy cảm được lưu trữ trong các quy trình phát triển phần mềm.
2026-06-06 Nguồn:decrypt.co
Bảo mật AI

Tóm tắt

  • Các nhà nghiên cứu của Microsoft phát hiện ra rằng Claude Code GitHub Action của Anthropic có thể bị thao túng thông qua các cuộc tấn công tiêm nhiễm lời nhắc (prompt injection).
  • Cuộc tấn công dựa vào các hướng dẫn độc hại được ẩn trong các vấn đề (issues), yêu cầu hợp nhất (pull requests) hoặc bình luận trên GitHub mà tác nhân AI được yêu cầu xem xét.
  • Anthropic đã vá lỗ hổng vào tháng 5 sau khi Microsoft tiết lộ vấn đề này thông qua HackerOne.

Các nhà nghiên cứu của Microsoft đã tiết lộ một lỗ hổng hiện đã được vá trong Claude Code GitHub Action của Anthropic, có thể cho phép kẻ tấn công phơi bày thông tin xác thực được lưu trữ trong các đường ống phát triển phần mềm bằng cách thao túng tác nhân AI thông qua nội dung GitHub độc hại.

Trong một bài đăng blog vào thứ Sáu, Microsoft cảnh báo rằng các tác nhân lập trình AI chạy trong các quy trình CI/CD có thể tạo ra các rủi ro bảo mật mới vì các môi trường đó thường có quyền truy cập vào khóa API, thông tin xác thực đám mây và các thông tin nhạy cảm khác.

Microsoft viết: “Chúng tôi bắt đầu nghiên cứu này sau khi quan sát các nỗ lực tiêm nhiễm lời nhắc trong các kho lưu trữ công khai sử dụng quy trình làm việc GitHub được hỗ trợ bởi AI trên nhiều nhà cung cấp, nơi các vấn đề hoặc [yêu cầu hợp nhất] do kẻ tấn công kiểm soát, nội dung được tác nhân AI xử lý và có thể ảnh hưởng đến việc sử dụng công cụ của nó”.

Trên GitHub, một yêu cầu hợp nhất (pull request) cho phép các nhà phát triển đề xuất thay đổi đối với một kho mã và có các thay đổi đó được xem xét trước khi chúng được phê duyệt và hợp nhất.

Báo cáo được đưa ra khi các cuộc tấn công tiêm nhiễm lời nhắc đã nổi lên như một trong những mối đe dọa bảo mật lớn nhất mà các tác nhân AI phải đối mặt. Trong một cuộc tấn công tiêm nhiễm lời nhắc, kẻ tấn công ẩn các hướng dẫn trong nội dung như email, tài liệu, trang web hoặc bình luận mã, khiến hệ thống AI tuân theo các hướng dẫn đó thay vì của người dùng.

Ra mắt vào tháng 10, Claude Code là tác nhân lập trình AI của Anthropic dành cho các tác vụ phát triển phần mềm. Công cụ này đã được giám sát chặt chẽ vào tháng 3 sau khi Anthropic vô tình làm rò rỉ hơn 500.000 dòng mã nguồn của mình, phơi bày các chi tiết về kiến trúc nội bộ và thúc đẩy sự phân tích rộng rãi của các nhà nghiên cứu và nhà phát triển.

Theo Microsoft, kẻ tấn công có thể sử dụng các cuộc tấn công tiêm nhiễm lời nhắc ẩn trong các vấn đề GitHub, yêu cầu hợp nhất hoặc bình luận để thao túng Claude Code truy cập các tệp chứa thông tin xác thực nhạy cảm.

Để kiểm tra lỗ hổng, Microsoft đã tạo một quy trình làm việc GitHub và ngụy trang các hướng dẫn độc hại đằng sau nội dung được lưu trữ trên một miền do họ kiểm soát, cho phép các nhà nghiên cứu bỏ qua các biện pháp bảo vệ an toàn của Claude. Cuộc tấn công tiêm nhiễm lời nhắc đã lừa Claude đọc thông tin xác thực nhạy cảm và thay đổi chúng để tránh cả các biện pháp bảo vệ của Claude và các công cụ quét bí mật của GitHub. Microsoft cho biết kẻ tấn công sau đó có thể tái tạo thông tin xác thực và đánh cắp nó thông qua các bình luận vấn đề, nhật ký quy trình làm việc, yêu cầu web hoặc lệnh shell.

Công ty cho biết: “Để bỏ qua các cơ chế an toàn từ chối của Sonnet, chúng tôi đã che giấu tải trọng shell đằng sau phản hồi từ miền được kiểm soát của chúng tôi. Chúng tôi cũng cho phép quy trình làm việc được kích hoạt bởi người dùng không có quyền 'ghi' để đảm bảo rằng các biện pháp giảm thiểu loại bỏ biến môi trường của Anthropic đã hoạt động trong quá trình thử nghiệm của chúng tôi.”

Anthropic đã vá lỗi vào ngày 5 tháng 5 với Claude Code phiên bản 2.1.128 sau khi Microsoft tiết lộ lỗ hổng thông qua HackerOne vào ngày 29 tháng 4.

Mặc dù có nhiều lớp kiểm soát bảo mật tích hợp, Microsoft phát hiện ra rằng một kẻ tấn công quyết tâm vẫn có thể thao túng tác nhân AI để phơi bày thông tin nhạy cảm.

“Chúng ta đang bước vào một kỷ nguyên mà ngôn ngữ tự nhiên là mã có thể thực thi, và các đầu vào không đáng tin cậy như các vấn đề GitHub phải được coi là thù địch theo mặc định,” nó nói. “Chỉ cần một bình luận được tạo tác cẩn thận kết hợp với một ranh giới tin cậy bị hiểu sai là đủ để lấy đi thông tin xác thực sản xuất.”

Tin nổi bật
banner
Giám đốc Đầu tư Bitwise Matt Hougan gọi crypto là một 'cược đi ngược thị trường'
2026-06-03
banner
Coinbase đầu tư vào ETF dự trữ stablecoin do ProShares phát hành
2026-06-02
banner
Galaxy Digital mở giao dịch thị trường dự đoán OTC cho tổ chức, khởi động với giao dịch Kalshi 10 triệu USD
2026-06-02
Bài viết khác
banner
Hoạt động phái sinh tiền điện tử giảm về mức cuối năm 2023, song cơ hội thị trường hợp đồng vĩnh cửu tại Mỹ nổi lên
2026-06-03
banner
Giám đốc Đầu tư Bitwise Matt Hougan gọi crypto là một 'cược đi ngược thị trường'
2026-06-03
banner
Ethena hợp tác Anchorage cho tài sản thế chấp offchain bảo mật trong nỗ lực thúc đẩy cho vay tổ chức
2026-06-03
banner
Coinbase đầu tư vào Ethena thông qua mua ENA trên thị trường mở, thông báo quan hệ đối tác mới
2026-06-03
banner
Thượng nghị sĩ Bernie Sanders, Elizabeth Warren thúc đẩy Bộ Lao động hủy bỏ quy tắc đề xuất đưa tiền mã hóa vào các kế hoạch 401(k)
2026-06-03
banner
Coinbase đầu tư vào ETF dự trữ stablecoin do ProShares phát hành
2026-06-02
Các loại crypto phổ biến
Đăng ký ngay để không bỏ lỡ bất kỳ thông tin cập nhật nào!