07.06.2026
1 хв
11
Дослідники Microsoft виявили проблему безпеки в GitHub Action для Claude Code від Anthropic, яка потенційно дозволяла отримати доступ до конфіденційних даних у CI/CD-середовищах. За певних умов зловмисники могли використовувати атаки через prompt injection, щоб змусити AI-асистента розкрити службові ключі, токени та інші облікові дані.
Розслідування розпочалося після того, як фахівці Microsoft Threat Intelligence зафіксували спроби використання інструментів зі штучним інтелектом для внесення шкідливих змін до публічних GitHub-репозиторіїв. Особливу увагу привернули робочі процеси GitHub, у яких для автоматизації використовувалися AI-асистенти.
Prompt injection є одним із найпоширеніших типів атак на великі мовні моделі. Суть методу полягає в тому, що зловмисник приховує спеціальні інструкції всередині контенту, який обробляє модель. У результаті система може проігнорувати початкові правила роботи та виконати дії, які не були передбачені розробниками.
В одному з прикладів шкідливі інструкції були заховані всередині HTML-коментаря. Для звичайного користувача такий вміст залишався невидимим на сторінці GitHub, проте модель штучного інтелекту бачила його під час обробки сирого коду розмітки. Цільовий репозиторій використовував GitHub Actions для автоматичного опрацювання звернень та завдань, що й створювало можливість для атаки.
За словами дослідників, зловмиснику навіть не потрібно було отримувати права на зміну проєкту. Достатньо було створити запит або повідомлення зі спеціально підготовленим вмістом, після чого AI-бот міг самостійно виконати небезпечні дії.
Під час дослідження Microsoft перевірила, чи можна застосувати аналогічну техніку проти Claude Code GitHub Action. Виявилося, що хоча деякі інструменти, зокрема Bash, уже працювали в ізольованому середовищі, інструмент Read, який відповідає за читання файлів, не був захищений такими ж обмеженнями.
Для перевірки гіпотези фахівці створили тестове шкідливе навантаження. Під час експерименту воно змогло обійти два рівні захисту та переконати AI-помічника звернутися до системного файлу, де зберігалися API-ключі та інші конфіденційні облікові дані.
Microsoft повідомила Anthropic про проблему 29 квітня. Компанія оперативно відреагувала та вже 5 травня випустила виправлення у версії Claude Code 2.1.128. Оновлення блокує доступ до чутливих файлів у каталозі /proc/, що унеможливлює використання цього сценарію для витоку даних.
Інцидент став ще одним нагадуванням про те, що AI-інструменти дедалі глибше інтегруються в процеси розробки, а отже навіть невеликі помилки в їхній архітектурі можуть створювати ризики для безпеки корпоративних середовищ.
