Các nhà nghiên cứu Microsoft phát hiện lỗ hổng chèn lệnh vào lời nhắc trong Claude Code GitHub Action, có thể làm lộ khóa API và thông tin xác thực đám mây trong quy trình CI/CD.
Các nhà nghiên cứu của Microsoft đã công bố một lỗ hổng trong Claude Code GitHub Action của Anthropic, hiện đã được vá, vốn có thể cho phép kẻ tấn công đánh cắp thông tin xác thực nhạy cảm được lưu trữ trong các quy trình phát triển phần mềm.
Phương thức tấn công dựa trên kỹ thuật chèn lệnh vào lời nhắc, trong đó các chỉ dẫn độc hại được ngụy trang bên trong nội dung thông thường trên GitHub như vấn đề, yêu cầu kéo hoặc bình luận, khiến tác nhân AI xử lý chúng như chỉ dẫn hợp lệ.
Điểm khiến lỗ hổng này đặc biệt đáng lo ngại là vị trí triển khai của Claude Code: bên trong các quy trình CI/CD, nơi các môi trường tự động hóa thường có quyền truy cập vào khóa API, thông tin xác thực đám mây và nhiều dữ liệu nhạy cảm khác.
Một khi tác nhân AI bị thao túng, kẻ tấn công có thể khiến Claude đọc các tệp chứa thông tin xác thực, chỉnh sửa chúng để né tránh cả cơ chế bảo vệ của Claude lẫn công cụ quét bí mật của GitHub, rồi rò rỉ dữ liệu thông qua bình luận trong vấn đề, nhật ký quy trình làm việc, yêu cầu web hoặc lệnh shell.
Khi ngôn ngữ tự nhiên trở thành mã có thể thực thi
Để kiểm thử lỗ hổng, các nhà nghiên cứu Microsoft đã tạo một quy trình làm việc GitHub và ngụy trang các chỉ dẫn độc hại phía sau nội dung được lưu trữ trên một tên miền do họ kiểm soát.
Cách tiếp cận này cho phép họ vượt qua các cơ chế từ chối an toàn của mô hình Sonnet, bằng cách che giấu tải lệnh shell phía sau phản hồi từ máy chủ bên ngoài, cuộc tấn công không kích hoạt các bộ lọc nội dung thông thường. Microsoft xác nhận rằng bất chấp nhiều lớp kiểm soát bảo mật tích hợp, một kẻ tấn công có quyết tâm vẫn có thể thao túng tác nhân AI để làm lộ thông tin nhạy cảm.
Lỗ hổng được Microsoft công bố thông qua nền tảng HackerOne vào ngày 29 tháng 4 và Anthropic đã phát hành bản vá vào ngày 5 tháng 5 với Claude Code phiên bản 2.1.128. Sự việc diễn ra trong bối cảnh đáng chú ý hơn với Claude Code: công cụ này từng gây chú ý vào tháng 3 sau khi Anthropic vô tình làm rò rỉ hơn 500.000 dòng mã nguồn, để lộ các chi tiết về kiến trúc nội bộ.
Báo cáo của Microsoft phản ánh một mối lo ngại có tính hệ thống hơn, khi các cuộc tấn công chèn lệnh vào lời nhắc đang nổi lên như một trong những vector đe dọa nghiêm trọng nhất đối với các tác nhân AI hoạt động trong môi trường thực.
Microsoft kết luận rằng trong kỷ nguyên mà ngôn ngữ tự nhiên là mã có thể thực thi, các đầu vào không đáng tin cậy như vấn đề trên GitHub phải được mặc định xem là thù địch, và chỉ cần một bình luận được tạo dựng cẩn thận, kết hợp với một ranh giới tin cậy bị hiểu sai, là đủ để đánh mất thông tin xác thực sản xuất.
