Pesquisadores da Microsoft divulgaram uma vulnerabilidade agora corrigida na Ação do GitHub do Claude Code, da Anthropic, que permitia que atacantes expusessem credenciais por meio de ataques de prompt injection. A Microsoft divulgou o problema via HackerOne em 29 de abril, e a Anthropic lançou um patch em 5 de maio com a versão 2.1.128 do Claude Code. A vulnerabilidade explorava agentes de IA executados em fluxos de CI/CD, nos quais instruções maliciosas escondidas em issues, pull requests ou comentários do GitHub poderiam manipular a IA para acessar informações sensíveis. A Microsoft alertou que agentes de codificação com IA criam novos riscos de segurança porque ambientes de desenvolvimento frequentemente contêm chaves de API, credenciais de nuvem e outros dados sensíveis.
Pesquisadores da Microsoft expuseram o vetor de ataque de prompt injection no Claude Code
Pesquisadores da Microsoft descobriram que atacantes poderiam usar ataques de prompt injection escondidos em issues, pull requests ou comentários do GitHub para manipular o Claude Code a acessar arquivos que continham credenciais sensíveis. Em um post no blog na sexta-feira, a Microsoft afirmou que a pesquisa começou “após observar tentativas de prompt injection em repositórios públicos usando fluxos de trabalho do GitHub com IA-assistida entre múltiplos fornecedores, onde issue ou [pull requests] controlados pelo atacante, o conteúdo é processado pelo agente de IA e pode influenciar o uso das ferramentas”.
Para testar a vulnerabilidade, a Microsoft criou um workflow no GitHub e disfarçou instruções maliciosas por trás de conteúdo hospedado em um domínio que ela controlava, permitindo que os pesquisadores contornassem as proteções de segurança do Claude. O truque de prompt injection levou o Claude a ler credenciais sensíveis e alterá-las para evitar tanto as salvaguardas do Claude quanto as ferramentas de secret-scanning do GitHub. A Microsoft disse que, então, um atacante poderia reconstruir a credencial e exfiltrá-la por meio de comentários de issues, logs de workflow, requisições web ou comandos de shell.
"Para burlar os mecanismos de recusa de segurança do Sonnet, obscurecemos a carga do shell por trás de uma resposta de nosso domínio controlado", afirmou a Microsoft. "Também habilitamos o workflow para ser disparado por usuários sem permissões de 'write' para garantir que as variáveis de ambiente do ambiente da Anthropic com mitigações de scrub estivessem ativas durante nossos testes."
Anthropic corrigiu a vulnerabilidade em 5 de maio após divulgação no HackerOne
A Anthropic corrigiu a falha em 5 de maio com a versão 2.1.128 do Claude Code, após a Microsoft divulgar a vulnerabilidade via HackerOne em 29 de abril. O Claude Code, agente de codificação com IA da Anthropic para tarefas de desenvolvimento de software, foi lançado em outubro. A ferramenta recebeu escrutínio em março depois que a Anthropic, por acidente, vazou mais de 500.000 linhas de seu código-fonte, expondo detalhes de sua arquitetura interna.
No GitHub, um pull request permite que desenvolvedores proponham mudanças em um repositório de código e tenham essas mudanças revisadas antes de serem aprovadas e mescladas. A vulnerabilidade explorou esse processo de revisão ao incorporar instruções maliciosas que o agente de IA processaria.
Microsoft alerta funções em linguagem natural como código executável em sistemas de IA
Apesar de múltiplas camadas de controles de segurança embutidos, a Microsoft descobriu que um atacante determinado poderia potencialmente manipular um agente de IA para expor informações sensíveis. "Estamos entrando em uma era em que linguagem natural é código executável, e entradas não confiáveis como issues do GitHub devem ser tratadas como hostis por padrão", afirmou a Microsoft. "Um único comentário cuidadosamente elaborado, combinado com uma fronteira de confiança mal compreendida, é tudo o que é necessário para ir embora com credenciais de produção."
O relatório surge enquanto ataques de prompt injection emergiram como uma das maiores ameaças de segurança enfrentadas por agentes de IA. Em um ataque de prompt injection, um atacante esconde instruções em conteúdos como e-mails, documentos, websites ou comentários de código, fazendo com que um sistema de IA siga essas instruções em vez das do usuário.
FAQ
Que vulnerabilidade a Microsoft descobriu na Ação do GitHub do Claude Code?
Pesquisadores da Microsoft descobriram que a Ação do GitHub do Claude Code, da Anthropic, poderia ser manipulada por meio de ataques de prompt injection escondidos em issues, pull requests ou comentários do GitHub. A vulnerabilidade permitia que atacantes expusessem credenciais armazenadas em pipelines de desenvolvimento de software, enganando o agente de IA a acessar arquivos sensíveis e exfiltrar as informações por meio de comentários de issues, logs de workflow, requisições web ou comandos de shell.
Quando a Anthropic corrigiu a vulnerabilidade do Claude Code?
A Anthropic corrigiu a vulnerabilidade em 5 de maio com a versão 2.1.128 do Claude Code, após a Microsoft divulgar o problema via HackerOne em 29 de abril. O patch abordou o vetor de ataque de prompt injection que permitia manipular o agente de IA em fluxos de CI/CD.
Por que agentes de codificação com IA são vulneráveis a ataques de prompt injection?
A Microsoft alertou que agentes de codificação com IA executados dentro de fluxos de CI/CD criam novos riscos de segurança porque esses ambientes frequentemente têm acesso a chaves de API, credenciais de nuvem e outras informações sensíveis. Ataques de prompt injection exploram o fato de que linguagem natural pode funcionar como código executável, permitindo que atacantes escondam instruções maliciosas em conteúdo que o agente de IA processa durante tarefas de revisão de código.
