Microsoft-Forscher haben eine inzwischen gepatchte Sicherheitslücke in der GitHub Action „Claude Code“ von Anthropic offengelegt, die es Angreifern ermöglichte, über Prompt-Injection-Angriffe Zugangsdaten preiszugeben. Microsoft machte das Problem am 29. April über HackerOne bekannt, und Anthropic veröffentlichte am 5. Mai einen Patch mit der Claude-Code-Version 2.1.128. Die Schwachstelle nutzte KI-Agenten aus, die in CI/CD-Workflows laufen, in denen bösartige, in GitHub-Issues, Pull Requests oder Kommentaren versteckte Anweisungen die KI dazu bringen konnten, auf sensible Informationen zuzugreifen. Microsoft warnte, dass KI-Coding-Agenten neue Sicherheitsrisiken schaffen, weil Entwicklungsumgebungen oft API-Keys, Cloud-Zugangsdaten und andere sensible Daten enthalten.
Microsoft-Forscher legten den Prompt-Injection-Angriffsvektor in Claude Code offen
Microsoft-Forscher fanden heraus, dass Angreifer Prompt-Injection-Angriffe nutzen konnten, die in GitHub-Issues, Pull Requests oder Kommentaren versteckt sind, um Claude Code so zu manipulieren, dass es auf Dateien mit sensiblen Zugangsdaten zugreift. In einem Blogbeitrag am Freitag erklärte Microsoft, die Forschung habe „begonnen, nachdem wir Prompt-Injection-Versuche in öffentlichen Repositories beobachtet hatten, die KI-gestützte GitHub-Workflows über mehrere Anbieter hinweg nutzen, wobei der Angreifer-kontrollierte Issue- oder [pull requests]-Inhalt von dem KI-Agenten verarbeitet wird und seine Tool-Nutzung beeinflussen kann.“
Um die Schwachstelle zu testen, erstellte Microsoft einen GitHub-Workflow und tarnt bösartige Anweisungen hinter Inhalten, die auf einer Domain gehostet waren, die es kontrollierte, wodurch die Forschenden die Sicherheitsvorkehrungen von Claude umgehen konnten. Der Prompt-Injection-Angriff brachte Claude dazu, sensible Zugangsdaten zu lesen und sie so zu verändern, dass sowohl die Sicherheitsvorkehrungen von Claude als auch die Secret-Scanning-Tools von GitHub umgangen wurden. Microsoft sagte, ein Angreifer könne anschließend die Zugangsdaten rekonstruieren und sie über Issue-Kommentare, Workflow-Logs, Webanfragen oder Shell-Kommandos exfiltrieren.
„Um Sonnet-Ablehnungs-Sicherheitsmechanismen zu umgehen, haben wir die Shell-Payload hinter einer Antwort aus unserer kontrollierten Domain verschleiert“, erklärte Microsoft. „Wir haben außerdem den Workflow so konfiguriert, dass er von Nutzern ausgelöst werden kann, die keine ‚write‘-Berechtigungen haben, um sicherzustellen, dass die Scrubbing-Mitigations in der Umgebung von Anthropic während unserer Tests aktiv waren.“
Anthropic patchte die Schwachstelle am 5. Mai nach HackerOne-Offenlegung
Anthropic patchte den Fehler am 5. Mai mit Claude Code Version 2.1.128, nachdem Microsoft die Schwachstelle am 29. April über HackerOne offengelegt hatte. Claude Code, der KI-Coding-Agent von Anthropic für Software-Entwicklungsaufgaben, ging im Oktober an den Start. Das Tool geriet im März unter die Lupe, nachdem Anthropic versehentlich mehr als 500.000 Zeilen seines Quellcodes offengelegt hatte und damit Details zu seiner internen Architektur.
Auf GitHub ermöglicht ein Pull Request Entwicklern, Änderungen an einem Code-Repository vorzuschlagen und diese Änderungen überprüfen zu lassen, bevor sie genehmigt und zusammengeführt werden. Die Schwachstelle nutzte diesen Review-Prozess aus, indem bösartige Anweisungen eingebettet wurden, die der KI-Agent verarbeiten würde.
Microsoft warnt: Natürliche Sprache als ausführbarer Code in KI-Systemen
Trotz mehrerer Ebenen eingebauter Sicherheitskontrollen stellte Microsoft fest, dass ein entschlossener Angreifer einen KI-Agenten möglicherweise dazu bringen kann, sensible Informationen offenzulegen. „Wir betreten eine Ära, in der natürliche Sprache ausführbarer Code ist, und nicht vertrauenswürdige Eingaben wie GitHub-Issues müssen standardmäßig als feindselig behandelt werden“, erklärte Microsoft. „Ein einzelner, sorgfältig formulierter Kommentar in Kombination mit einer missverstandenen Vertrauensgrenze reicht aus, um mit Produktionszugangsdaten wegzugehen.“
Der Bericht erscheint, während Prompt-Injection-Angriffe zu einer der größten Sicherheitsbedrohungen für KI-Agenten werden. Bei einem Prompt-Injection-Angriff versteckt ein Angreifer Anweisungen in Inhalten wie E-Mails, Dokumenten, Websites oder Code-Kommentaren, sodass ein KI-System diesen Anweisungen folgt, statt den Vorgaben des Nutzers.
FAQ
Welche Schwachstelle hat Microsoft in der Claude-Code-GitHub-Action entdeckt?
Microsoft-Forscher fanden heraus, dass sich die Claude-Code-GitHub-Action von Anthropic durch Prompt-Injection-Angriffe manipulieren ließ, die in GitHub-Issues, Pull Requests oder Kommentaren versteckt sind. Die Schwachstelle erlaubte es Angreifern, Zugangsdaten offenzulegen, die in Software-Entwicklungspipelines gespeichert sind, indem sie den KI-Agenten dazu brachten, auf sensible Dateien zuzugreifen und die Informationen über Issue-Kommentare, Workflow-Logs, Webanfragen oder Shell-Kommandos zu exfiltrieren.
Wann hat Anthropic die Claude-Code-Schwachstelle gepatcht?
Anthropic patchte die Schwachstelle am 5. Mai mit Claude Code Version 2.1.128, nachdem Microsoft das Problem am 29. April über HackerOne offengelegt hatte. Der Patch behebt den Angriffsvektor für Prompt-Injection, der die Manipulation des KI-Agenten in CI/CD-Workflows ermöglichte.
Warum sind KI-Coding-Agenten anfällig für Prompt-Injection-Angriffe?
Microsoft warnte, dass KI-Coding-Agenten, die innerhalb von CI/CD-Workflows laufen, neue Sicherheitsrisiken schaffen, weil diese Umgebungen oft Zugriff auf API-Keys, Cloud-Zugangsdaten und andere sensible Informationen haben. Prompt-Injection-Angriffe nutzen die Tatsache aus, dass natürliche Sprache als ausführbarer Code funktionieren kann, wodurch Angreifer bösartige Anweisungen in Inhalten verstecken können, die der KI-Agent während Code-Review-Aufgaben verarbeitet.
