Des chercheurs de Microsoft ont dévoilé une vulnérabilité dans l’action GitHub de Claude Code, d’Anthropic, désormais corrigée, qui permettait aux attaquants d’exposer des identifiants via des attaques par injection d’instructions dans les prompts. Microsoft a rendu le problème public via HackerOne le 29 avril, et Anthropic a publié un correctif le 5 mai avec la version 2.1.128 de Claude Code. La vulnérabilité exploitait des agents IA exécutés dans des flux CI/CD, où des instructions malveillantes cachées dans des issues GitHub, des pull requests ou des commentaires pouvaient amener l’IA à accéder à des informations sensibles. Microsoft a averti que les agents de codage IA créent de nouveaux risques de sécurité, car les environnements de développement contiennent souvent des clés API, des identifiants cloud et d’autres données sensibles.
Des chercheurs de Microsoft ont révélé un vecteur d’attaque par injection de prompts dans Claude Code
Des chercheurs de Microsoft ont découvert que des attaquants pouvaient utiliser des attaques par injection de prompts cachées dans des issues GitHub, des pull requests ou des commentaires pour manipuler Claude Code et l’amener à accéder à des fichiers contenant des identifiants sensibles. Dans un billet publié vendredi, Microsoft a indiqué que la recherche avait commencé « après avoir observé des tentatives d’injection de prompts dans des dépôts publics utilisant des workflows GitHub assistés par l’IA auprès de plusieurs fournisseurs, où le contenu d’issue ou [de pull requests] contrôlé par l’attaquant est traité par l’agent IA et peut influencer son utilisation des outils ».
Pour tester la vulnérabilité, Microsoft a créé un workflow GitHub et a dissimulé des instructions malveillantes derrière du contenu hébergé sur un domaine qu’il contrôlait, permettant aux chercheurs de contourner les protections de sécurité de Claude. L’astuce d’attaque par injection de prompts a amené Claude à lire des identifiants sensibles et à les modifier afin d’échapper à la fois aux garde-fous de Claude et aux outils de secret-scanning de GitHub. Microsoft a indiqué qu’un attaquant pouvait ensuite reconstruire l’identifiant et l’exfiltrer via des commentaires d’issue, des journaux de workflow, des requêtes web ou des commandes shell.
« Pour contourner les mécanismes de refus de sécurité de Sonnet, nous avons masqué la charge utile shell derrière une réponse provenant de notre domaine contrôlé », a déclaré Microsoft. « Nous avons également configuré le workflow pour qu’il soit déclenché par des utilisateurs sans autorisations “write” afin de garantir que les variables d’environnement d’Anthropic, avec les atténuations en place, étaient actives pendant nos tests. »
Anthropic corrige la vulnérabilité le 5 mai après la divulgation HackerOne
Anthropic a corrigé la faille le 5 mai avec la version 2.1.128 de Claude Code après que Microsoft a divulgué la vulnérabilité via HackerOne le 29 avril. Claude Code, l’agent IA d’Anthropic pour les tâches de développement logiciel, a été lancé en octobre. L’outil a attiré l’attention en mars après qu’Anthropic a accidentellement divulgué plus de 500 000 lignes de son code source, révélant des détails de son architecture interne.
Sur GitHub, une pull request permet aux développeurs de proposer des modifications à un dépôt de code et de les faire relire avant qu’elles ne soient approuvées et fusionnées. La vulnérabilité exploitait ce processus de revue en intégrant des instructions malveillantes que l’agent IA traiterait.
Microsoft met en garde contre l’utilisation des fonctions en langage naturel comme code exécutable dans les systèmes d’IA
Malgré plusieurs couches de contrôles de sécurité intégrés, Microsoft a constaté qu’un attaquant déterminé pourrait potentiellement manipuler un agent IA pour qu’il expose des informations sensibles. « Nous entrons dans une ère où le langage naturel est du code exécutable, et des entrées non fiables comme des issues GitHub doivent être traitées comme hostiles par défaut », a déclaré Microsoft. « Un seul commentaire soigneusement conçu, combiné à une limite de confiance mal comprise, suffit à repartir avec des identifiants de production. »
Le rapport arrive au moment où les attaques par injection de prompts émergent comme l’une des plus grandes menaces de sécurité auxquelles sont confrontés les agents d’IA. Dans une attaque par injection de prompts, un attaquant cache des instructions dans du contenu comme des emails, des documents, des sites web ou des commentaires de code, amenant un système IA à suivre ces instructions plutôt que celles de l’utilisateur.
FAQ
Quelle vulnérabilité Microsoft a-t-elle découverte dans l’action GitHub de Claude Code ?
Des chercheurs de Microsoft ont découvert que l’action GitHub Claude Code d’Anthropic pouvait être manipulée via des attaques par injection de prompts cachées dans des issues GitHub, des pull requests ou des commentaires. La vulnérabilité permettait aux attaquants d’exposer des identifiants stockés dans des pipelines de développement logiciel en trompant l’agent IA pour qu’il accède à des fichiers sensibles et en exfiltrant l’information via des commentaires d’issue, des journaux de workflow, des requêtes web ou des commandes shell.
Quand Anthropic a-t-elle corrigé la vulnérabilité de Claude Code ?
Anthropic a corrigé la vulnérabilité le 5 mai avec la version 2.1.128 de Claude Code après que Microsoft a divulgué le problème via HackerOne le 29 avril. Le correctif traitait le vecteur d’attaque par injection de prompts qui permettait de manipuler l’agent IA dans des flux CI/CD.
Pourquoi les agents de codage IA sont-ils vulnérables aux attaques par injection de prompts ?
Microsoft a averti que les agents de codage IA exécutés dans des flux CI/CD créent de nouveaux risques de sécurité, car ces environnements ont souvent accès à des clés API, des identifiants cloud et à d’autres informations sensibles. Les attaques par injection de prompts exploitent le fait que le langage naturel peut fonctionner comme du code exécutable, permettant aux attaquants de dissimuler des instructions malveillantes dans le contenu que l’agent IA traite pendant des tâches de revue de code.
