„Microsoft“ teigia, kad „Claude Code“ pažeidžiamumas gali leisti užpuolikams pavogti kredencialus iš „GitHub“

„Microsoft“ tyrėjai atskleidė dabar pataisytą Anthropic „Claude Code GitHub Action“ pažeidžiamumą, kuris galėjo leisti užpuolikams atskleisti programinės įrangos kūrimo vamzdynuose saugomus kredencialus manipuliuojant AI agentu per kenkėjišką „GitHub“ turinį.

Penktadienio dienoraščio įraše „Microsoft“ įspėjo, kad AI kodavimo agentai, veikiantys CI/CD darbo eigose, gali sukelti naujų saugumo pavojų, nes šios aplinkos dažnai turi prieigą prie API raktų, debesies kredencialų ir kitos neskelbtinos informacijos.

„Šį tyrimą pradėjome stebėję greitus įterpimo bandymus viešose saugyklose, naudojant AI padedamas „GitHub“ darbo eigas tarp kelių tiekėjų, kur užpuoliko kontroliuojamą problemą arba (ištraukimo užklausas) turinį apdoroja AI agentas ir gali turėti įtakos jo įrankių naudojimui“, – rašė „Microsoft“.

„GitHub“ ištraukimo užklausa leidžia kūrėjams siūlyti pakeitimus kodo saugykloje ir peržiūrėti pakeitimus prieš juos patvirtinant ir sujungiant.

Ataskaitoje paskelbta, kad skubios injekcijos atakos tapo viena didžiausių grėsmių saugumui, su kuria susiduria dirbtinio intelekto agentai. Greitos injekcijos atakos metu užpuolikas slepia instrukcijas turinyje, pvz., el. laiškuose, dokumentuose, svetainėse arba kodo komentaruose, todėl dirbtinio intelekto sistema vykdo tas instrukcijas, o ne naudotojo.

Spalį pristatytas Claude Code yra Anthropic AI kodavimo agentas programinės įrangos kūrimo užduotims atlikti. Įrankis buvo ištirtas kovo mėn., kai „Anthropic“ netyčia nutekino daugiau nei 500 000 šaltinio kodo eilučių, atskleisdama jo vidinės architektūros detales ir paskatinusi tyrėjus ir kūrėjus atlikti plačią analizę.

„Microsoft“ teigimu, užpuolikai gali naudoti greitas injekcijos atakas, paslėptas „GitHub“ problemose, gauti užklausas ar komentarus, kad manipuliuotų Claude Code, kad pasiektų failus, kuriuose yra slaptų kredencialų.

Siekdama patikrinti pažeidžiamumą, „Microsoft“ sukūrė „GitHub“ darbo eigą ir užmaskavo kenkėjiškas instrukcijas, esančias jos valdomame domene esančiame turinyje, todėl mokslininkai galėjo apeiti Claude'o saugos priemones. Greita injekcijos ataka privertė Claude'ą perskaityti jautrius kredencialus ir juos pakeisti, kad išvengtų Claude apsaugos priemonių ir GitHub slaptų nuskaitymo įrankių. „Microsoft“ teigė, kad užpuolikas gali atkurti kredencialus ir juos išfiltruoti naudodamas problemos komentarus, darbo eigos žurnalus, žiniatinklio užklausas arba apvalkalo komandas.

„Siekdami apeiti „Sonnet“ atsisakymo saugos mechanizmus, užslėpėme korpuso naudingąją apkrovą, esančią už atsako iš mūsų kontroliuojamos srities“, – teigė įmonė. „Mes taip pat įgalinome darbo eigą suaktyvinti naudotojams, neturintiems „rašymo“ teisių, siekdami užtikrinti, kad „Anthropic“ aplinkos kintamųjų valymo priemonės būtų aktyvios atliekant bandymus.

Anthropic ištaisė trūkumą gegužės 5 d., naudodama Claude Code 2.1.128 versiją, kai balandžio 29 d. Microsoft atskleidė pažeidžiamumą per HackerOne.

Nepaisant kelių integruotų saugos valdiklių sluoksnių, „Microsoft“ nustatė, kad ryžtingas užpuolikas gali manipuliuoti AI agentu, kad atskleistų neskelbtiną informaciją.

„Mes įžengiame į erą, kai natūrali kalba yra vykdomasis kodas, o nepatikimos įvestys, tokios kaip „GitHub“ problemos, pagal numatytuosius nustatymus turi būti traktuojamos kaip priešiškos“, – sakoma jame. „Tereikia vieno, kruopščiai parengto komentaro kartu su neteisingai suprasta pasitikėjimo riba, kad netektų gamybos įgaliojimų.