微软研究人员披露了一个已修补的漏洞:Anthropic 的 Claude Code GitHub Action 允许攻击者通过提示注入攻击来泄露凭据。微软于 4 月 29 日通过 HackerOne 披露该问题,Anthropic 于 5 月 5 日发布补丁,Claude Code 版本为 2.1.128。该漏洞被用于利用在 CI/CD 工作流中运行的 AI 代理,其中,隐藏在 GitHub 问题、拉取请求或评论中的恶意指令可能会操纵 AI 使其访问敏感信息。微软警告称,AI 编码代理会带来新的安全风险,因为开发环境往往包含 API 密钥、云凭据和其他敏感数据。
微软研究人员在 Claude Code 中暴露提示注入攻击途径
微软研究人员发现,攻击者可以利用隐藏在 GitHub 问题、拉取请求或评论中的提示注入攻击,操纵 Claude Code 访问包含敏感凭据的文件。周五的一篇博客文章中,微软表示,该研究“始于观察到在多个供应商的公共存储库中,使用由 AI 辅助的 GitHub 工作流进行的提示注入尝试;其中,由攻击者控制的问题或 [拉取请求] 的内容会被 AI 代理处理,并可能影响其工具使用。”
为测试该漏洞,微软创建了一个 GitHub 工作流,并将恶意指令伪装在由它控制的域名上托管的内容后面,从而让研究人员绕过 Claude 的安全保护。提示注入攻击诱使 Claude 读取敏感凭据并对其进行篡改,以规避 Claude 的保护措施和 GitHub 的秘密扫描工具。微软表示,随后攻击者可以重建该凭据,并通过问题评论、工作流日志、网络请求或 shell 命令将其外传。
“为绕过 Sonnet 的拒绝安全机制,我们将 shell 载荷隐藏在来自我们控制域的响应背后,”微软表示。“我们还启用了工作流,使其可由没有 'write' 权限的用户触发,以确保在我们的测试期间,Anthropic 环境变量的清理缓解措施处于激活状态。”
Anthropic 于 HackerOne 披露后于 5 月 5 日修补漏洞
在微软于 4 月 29 日通过 HackerOne 披露该漏洞后,Anthropic 于 5 月 5 日使用 Claude Code 版本 2.1.128 修补了该缺陷。Claude Code 是 Anthropic 面向软件开发任务的 AI 编码代理,于 10 月上线。该工具在 3 月因 Anthropic 意外泄露了超过 50 万行源代码而受到审视,暴露了其内部架构细节。
在 GitHub 上,拉取请求允许开发人员向代码仓库提出更改建议,并在批准并合并之前先进行审查。该漏洞通过嵌入恶意指令来利用这一审查流程,AI 代理会处理这些指令。
微软警告:在 AI 系统中,自然语言功能可能充当可执行代码
尽管微软发现内置的多重安全控制仍然存在,仍有坚定的攻击者可能会操纵 AI 代理以暴露敏感信息。微软表示:“我们正进入一个自然语言就是可执行代码的时代,像 GitHub 问题这样的不可信输入必须默认被视为敌对。”“只需一个经过精心编写的评论,再加上被误解的信任边界,就足以带着生产凭据全身而退。”
该报告发布之际,提示注入攻击已成为威胁 AI 代理安全的最大威胁之一。在提示注入攻击中,攻击者会在诸如电子邮件、文档、网站或代码注释等内容中隐藏指令,导致 AI 系统遵循这些指令而不是用户的指令。
FAQ
微软在 Claude Code GitHub Action 中发现了什么漏洞?
微软研究人员发现,Anthropic 的 Claude Code GitHub Action 可能会通过隐藏在 GitHub 问题、拉取请求或评论中的提示注入攻击被操纵。该漏洞使攻击者能够通过诱使 AI 代理访问敏感文件,从而在软件开发流水线中暴露存储的凭据,并通过问题评论、工作流日志、网络请求或 shell 命令外传信息。
Anthropic 何时修补 Claude Code 漏洞?
在微软于 4 月 29 日通过 HackerOne 披露该问题后,Anthropic 于 5 月 5 日使用 Claude Code 版本 2.1.128 修补了该漏洞。该补丁解决了提示注入攻击途径,使得攻击者能够在 CI/CD 工作流中操纵 AI 代理。
为什么 AI 编码代理容易受到提示注入攻击?
微软警告称,在 CI/CD 工作流内运行的 AI 编码代理会带来新的安全风险,因为这些环境往往拥有 API 密钥、云凭据和其他敏感信息。提示注入攻击利用自然语言可以充当可执行代码这一事实,使攻击者能够在代码审查任务中,隐藏恶意指令于 AI 代理处理的内容之中。
