微软披露Claude Code漏洞可窃取GitHub凭证

lxff9988

微软研究人员披露，Anthropic 的 Claude Code GitHub Action 此前存在一项已修复漏洞。攻击者可把恶意指令藏在 GitHub 的 issue、拉取请求或评论中，诱导 AI 编码代理在 CI/CD 流程里读取敏感信息，并将凭证外传。

攻击利用 GitHub 内容触发

微软在博客中表示，这类风险来自 AI 代理会直接处理开发流程中的外部文本内容，而相关工作流通常又能访问 API 密钥、云服务凭证等敏感数据。一旦代理把不可信输入当作可执行指令，风险就会迅速放大。

按照微软的测试方式，研究人员搭建了一个 GitHub 工作流，并把恶意指令伪装在其控制域名返回的内容中，以此绕过 Claude 的部分安全防护。随后，Claude Code 被诱导读取包含敏感凭证的文件，并对凭证内容做改写，以避开自身防护和 GitHub 的密钥扫描工具。

凭证可经多种渠道外传

微软称，攻击者理论上可以通过多种方式取回这些信息，包括 issue 评论、工作流日志、网页请求或 shell 命令。研究人员还特意让没有写入权限的用户也能触发工作流，以验证在环境变量清理措施启用时，攻击是否仍可能成立。

微软表示，他们之所以展开这项研究，是因为此前已在多个供应商相关的公开仓库中观察到类似的提示注入尝试。这类攻击的共同点是，攻击者控制的 issue 或拉取请求内容会被 AI 代理读取，并进一步影响其工具调用行为。

Anthropic 已在 5 月修复

Claude Code 是 Anthropic 于去年 10 月推出的 AI 编码代理。该工具在今年 3 月也曾因源代码意外泄露而受到关注，当时外泄内容超过 50 万行，引发研究人员和开发者对其内部架构的广泛分析。

微软称，已于 4 月 29 日通过 HackerOne 向 Anthropic 披露这一问题。Anthropic 随后在 5 月 5 日发布 Claude Code 2.1.128 版本，完成修复。

微软认为，这一案例说明，随着 AI 代理被接入软件开发流程，自然语言输入正在越来越接近“可执行代码”。在这种场景下，GitHub issue、评论等外部内容需要被默认视为不可信输入，否则单条精心构造的信息就可能成为获取生产环境凭证的入口。