Microsoft-Forscher haben eine Schwachstelle in der GitHub Action von Anthropics Claude Code offengelegt, die Angreifern durch Prompt-Injection-Attacken ermöglichte, Zugangsdaten offenzulegen; Anthropic hat den Fehler am 5. Mai behoben. Microsoft legte das Problem am 29. April über HackerOne offen und veröffentlichte am Freitag Details in einem Blogbeitrag. Die Schwachstelle entstand daraus, dass der KI-Coding-Agent bösartige Anweisungen verarbeitete, die in GitHub-Issues, Pull Requests oder Kommentaren versteckt waren. Microsoft startete die Untersuchung, nachdem es Prompt-Injection-Versuche in öffentlichen Repositories mit KI-unterstützten GitHub-Workflows beobachtet hatte, bei denen angreifergesteuerte Inhalte die Tool-Nutzung des KI-Agenten beeinflussen konnten. Die Offenlegung macht Sicherheitsrisiken deutlich, die von KI-Coding-Agenten geschaffen werden, die in CI/CD-Workflows laufen und oft Zugriff auf API-Keys, Cloud-Zugangsdaten und andere sensible Informationen haben.

Microsoft Forscher identifizieren Angriffspfad für Prompt Injection

Microsoft schrieb in seinem Blogbeitrag, dass die Forschung begann, nachdem Prompt-Injection-Versuche in öffentlichen Repositories beobachtet worden waren, die KI-unterstützte GitHub-Workflows über mehrere Anbieter hinweg nutzten. Die Angriffsmethode basierte auf angreifergesteuertem Issue- oder Pull-Request-Inhalt, den der KI-Agent verarbeitet, was seine Tool-Nutzung beeinflussen konnte. Auf GitHub ermöglicht ein Pull Request Entwicklern, Änderungen an einem Code-Repository vorzuschlagen und diese prüfen zu lassen, bevor sie genehmigt und zusammengeführt werden. Laut Microsoft konnten Angreifer Prompt-Injection-Attacken nutzen, die in GitHub-Issues, Pull Requests oder Kommentaren versteckt waren, um Claude Code dazu zu bringen, auf Dateien zuzugreifen, die sensible Zugangsdaten enthalten. Claude Code ist der KI-Coding-Agent von Anthropic für Aufgaben in der Softwareentwicklung, der im Oktober an den Start ging.

Microsoft testet die Schwachstelle über eine gesteuerte Domain

Microsoft erstellte einen GitHub-Workflow und verschleierte bösartige Anweisungen hinter Inhalten, die auf einer Domain gehostet waren, die es kontrollierte, um die Schwachstelle zu testen. Der Ansatz ermöglichte es den Forschern, Claude-sicherheitsmechanismen zu umgehen. Der Prompt-Injection-Trick brachte Claude dazu, sensible Zugangsdaten zu lesen und sie so zu verändern, dass sowohl Claudes Schutzvorkehrungen als auch die Secret-Scanning-Tools von GitHub umgangen wurden. Microsoft erklärte, ein Angreifer könne danach die Zugangsdaten rekonstruieren und sie über Issue-Kommentare, Workflow-Logs, Webanfragen oder Shell-Befehle exfiltrieren. Microsoft schrieb, dass das Unternehmen, um die Sicherheitsverweigerungsmechanismen von Sonnet zu umgehen, die Shell-Nutzdaten hinter einer Antwort aus seiner kontrollierten Domain verbarg. Außerdem aktivierte Microsoft den Workflow so, dass er von Nutzern ohne „write“-Berechtigungen ausgelöst werden konnte, um sicherzustellen, dass die Minderungsschritte über die Umgebungsvariablen von Anthropic während der Tests aktiv waren.

Anthropic patcht Claude-Code-Version 2.1.128 am 5. Mai

Anthropic hat den Fehler am 5. Mai mit Claude Code Version 2.1.128 gepatcht, nachdem Microsoft die Schwachstelle am 29. April über HackerOne offengelegt hatte. Das Tool geriet bereits im März unter die Lupe, nachdem Anthropic versehentlich mehr als 500.000 Zeilen seines Quellcodes geleakt hatte, wodurch Details zu seiner internen Architektur offengelegt wurden und eine weitreichende Analyse durch Forschende und Entwickler angestoßen wurde. Trotz mehrerer Schichten eingebauter Sicherheitskontrollen fand Microsoft, dass ein entschlossener Angreifer potenziell einen KI-Agenten dazu manipulieren könnte, sensible Informationen offenzulegen.

Microsoft warnt: Natürliche Sprache als ausführbarer Code

Microsoft erklärte in seinem Blogbeitrag, dass die Branche in eine Ära übergehe, in der natürliche Sprache ausführbarer Code sei, und dass nicht vertrauenswürdige Eingaben wie GitHub-Issues standardmäßig als feindselig behandelt werden müssten. Das Unternehmen schrieb, dass es nur ein einziger, sorgfältig formulierter Kommentar in Kombination mit einer falsch verstandenen Vertrauensgrenze brauche, um mit Produktionszugangsdaten wegzugehen. Der Bericht erscheint, während Prompt-Injection-Attacken zu einer der größten Sicherheitsbedrohungen werden, denen KI-Agenten gegenüberstehen. Bei einer Prompt-Injection-Attacke versteckt ein Angreifer Anweisungen in Inhalten wie E-Mails, Dokumenten, Websites oder Code-Kommentaren und bringt ein KI-System dazu, diesen Anweisungen zu folgen, statt den Vorgaben des Nutzers.

FAQ

Welche Schwachstelle hat Microsoft in Claude Code entdeckt?

Microsoft-Forscher fanden, dass sich die Anthropic Claude Code GitHub Action durch Prompt-Injection-Attacken manipulieren lässt, die in GitHub-Issues, Pull Requests oder Kommentaren versteckt sind, sodass Angreifer Zugangsdaten offenlegen können, die in Software-Entwicklungspipelines gespeichert sind.

Wann hat Anthropic die Claude-Code-Schwachstelle gepatcht?

Anthropic hat die Schwachstelle am 5. Mai mit Claude Code Version 2.1.128 gepatcht, nachdem Microsoft das Problem am 29. April über HackerOne offengelegt hatte.

Wie hat Microsoft die Claude-Code-Schwachstelle getestet?

Microsoft hat einen GitHub-Workflow erstellt und bösartige Anweisungen hinter Inhalten verschleiert, die auf einer Domain gehostet waren, die es kontrollierte. Dadurch konnten Forschende Claudes Sicherheitsmechanismen umgehen und den KI-Agenten dazu bringen, sensible Zugangsdaten zu lesen und zu verändern.

View Source

Disclaimer: The information on this page may come from third-party sources and is for reference only. It does not represent the views or opinions of Gate and does not constitute any financial, investment, or legal advice. Virtual asset trading involves high risk. Please do not rely solely on the information on this page when making decisions. For details, see the Disclaimer.