微软的研究人员 披露了一个已修补的漏洞，该漏洞存在于Anthropic的Claude Code GitHub Action中，可能允许攻击者通过恶意的GitHub内容操控 AI代理，暴露存储在软件开发管道中的凭据。

在周五的一篇 博客文章中，微软警告称，运行在CI/CD工作流中的AI编码代理可能会带来新的安全风险，因为这些环境通常可以访问API密钥、云凭据和其他敏感信息。

“我们在观察到多家供应商的公共代码库中使用AI辅助的GitHub工作流进行提示注入尝试后开始了这项研究，其中攻击者控制的问题或 [拉取请求] 的内容被AI代理处理，并可能影响其工具的使用，”微软写道。

在GitHub上，拉取请求允许开发人员向代码库提议更改，并在批准和合并之前对这些更改进行审查。



该报告发布之际，提示注入攻击已成为AI代理面临的最大安全威胁之一。在 提示注入 攻击中，攻击者在电子邮件、文档、网站或代码注释等内容中隐藏 指令，导致AI系统遵循这些指令而不是用户的指令。

Claude Code于十月推出，是Anthropic的AI编码代理，用于软件开发任务。该工具在三月引起了审查，此前Anthropic意外 泄露 了超过50万行的源代码，暴露了其内部架构的细节，并引发研究人员和开发人员的广泛分析。

根据微软的说法，攻击者可以使用隐藏在GitHub问题、拉取请求或评论中的提示注入攻击，操控Claude Code访问包含敏感凭据的文件。

为了测试这个漏洞，微软创建了一个GitHub工作流，并在其控制的域名下伪装恶意指令，使得研究人员能够绕过Claude的安全保护。提示注入攻击诱使Claude读取敏感凭据并对其进行更改，以避开Claude的安全措施和GitHub的秘密扫描工具。微软表示，攻击者随后可以重建凭据，并通过问题评论、工作流日志、网络请求或shell命令将其外泄。

“为了绕过Sonnet的拒绝安全机制，我们将shell负载隐藏在我们控制域的响应后，”该公司表示。“我们还使工作流能够被没有‘写入’权限的用户触发，以确保在我们的测试期间，Anthropic的环境变量清理减轻措施是活跃的。”

在微软于4月29日通过HackerOne披露漏洞后，Anthropic在5月5日修补了这个缺陷，发布了Claude Code版本2.1.128。

尽管有多层内置安全控制，微软发现一个决心强烈的攻击者仍然可能操控AI代理来暴露敏感信息。

“我们正在进入一个自然语言可执行代码的时代，像GitHub问题这样的不可信输入默认必须被视为敌对，”它表示。“一个经过精心设计的评论，加上一个被误解的信任边界，就足以导致生成凭据的泄露。”

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。