La vulnerabilità dell'azione GitHub di Claude Code ha consentito il dirottamento dei repository.

      TL;DRA una falla nell'azione GitHub Claude Code di Anthropic ha permesso agli attaccanti di bypassare i controlli di autorizzazione tramite un falso account bot e utilizzare l'iniezione di prompt per rubare i token OIDC, ottenendo accesso in scrittura a qualsiasi repository vulnerabile. Anthropic ha corretto la vulnerabilità entro quattro giorni dalla divulgazione.

      L'attacco inizia con un problema su GitHub. Non uno sofisticato. Solo un problema aperto da un account bot con un testo formulato con attenzione che sembra un messaggio di errore. Quando l'azione GitHub di Claude Code lo raccoglie per la triage, segue le istruzioni nascoste all'interno, legge le variabili ambientali del processo e le scrive di nuovo nel problema affinché l'attaccante possa raccoglierle.

      Queste variabili contengono le credenziali necessarie per richiedere un token OIDC, che può essere scambiato per un token di installazione dell'app GitHub di Claude con accesso completo in scrittura al codice, ai problemi e ai flussi di lavoro del repository. Mira l'attacco al repository claude-code-action di Anthropic, che eseguiva lo stesso flusso di lavoro vulnerabile, e potresti avvelenare l'azione che migliaia di progetti downstream utilizzano.

      Il ricercatore di sicurezza RyotaK di GMO Flatt Security ha segnalato la vulnerabilità ad Anthropic a gennaio. L'azienda ha corretto il bypass principale entro quattro giorni, con un ulteriore indurimento durante la primavera. Le patch sono nella versione claude-code-action v1.0.94. Anthropic ha valutato i problemi 7.8 secondo CVSS v4.0 e ha pagato una ricompensa di $4,800.

      Come ha funzionato il bypass

      Il 💜 della tecnologia UE Le ultime novità dalla scena tecnologica dell'UE, una storia del nostro saggio fondatore Boris e alcune opere d'arte AI discutibili. È gratuito, ogni settimana, nella tua casella di posta. Iscriviti ora! Le azioni GitHub di Claude Code danno a Claude accesso in lettura e scrittura al codice, ai problemi, alle richieste di pull, alle discussioni e ai file di flusso di lavoro di un repository per impostazione predefinita. Per limitare chi può attivare queste capacità, l'azione verifica se l'attore ha accesso in scrittura al repository.

      Il controllo aveva una falla. Si fidava automaticamente di qualsiasi attore il cui nome finisse con [bot], assumendo che le app GitHub siano strumenti fidati installati dagli amministratori. Ma chiunque può registrare un'app GitHub, installarla su un repository che controlla e utilizzare il suo token per aprire un problema su qualsiasi repository pubblico. L'azione ha visto un nome bot e ha lasciato passare il contenuto. La modalità agente mancava della verifica aggiuntiva dell'attore umano che la modalità tag eseguiva, lasciandola completamente esposta.

      Una volta superato il cancello, l'attaccante utilizza l'iniezione di prompt indiretta, piantando istruzioni all'interno di contenuti che Claude legge come dati ma esegue come comandi. RyotaK ha creato un corpo del problema travestito da messaggio di recupero errore. Claude "si è ripreso" eseguendo i comandi sepolti all'interno, leggendo /proc/self/environ nonostante le protezioni integrate di Claude Code contro quell'operazione esatta, e pubblicando i valori nel problema.

      Un secondo percorso, nessun bot richiesto

      RyotaK ha anche identificato un percorso più morbido che ha bypassato completamente il trucco del bot. Il flusso di lavoro di triage degli esempi di Anthropic includeva l'impostazione allowed_non_write_users: "*", che consente a chiunque di attivare l'azione. La documentazione di Anthropic aveva già segnalato questo come rischioso, ma molti repository hanno copiato l'esempio e hanno ereditato la configurazione.

      Peggio ancora, Claude stava pubblicando riassunti delle attività nel pannello di riepilogo visibile pubblicamente dell'esecuzione del flusso di lavoro, creando un canale di esfiltrazione pronto all'uso. Una terza variante mirava a condizioni di gara: modifica un problema di un utente fidato dopo che il flusso di lavoro è attivato ma prima che Claude lo legga, e il payload malevolo si insinua come input fidato.

      Non teorico

      Lo stesso schema, un triage di problemi AI combinato con ampie autorizzazioni e iniezione di prompt, ha già causato danni reali. A febbraio, un titolo di problema iniettato con prompt contro il flusso di lavoro di triage di claude-code-action di Cline ha permesso agli attaccanti di rubare un token di pubblicazione npm e spingere un [email protected] non autorizzato. La versione non autorizzata ha forzato l'installazione di un agente AI separato chiamato OpenClaw su circa 4.000 sistemi di sviluppatori durante una finestra di otto ore prima di essere ritirata.

      Un bot autonomo chiamato HackerBot-Claw ha poi trascorso la fine di febbraio a sondare le configurazioni errate delle azioni GitHub presso Microsoft, Datadog e progetti CNCF. Quando ha cercato di iniettare un revisore basato su Claude attraverso un file di configurazione avvelenato, Claude lo ha catturato e rifiutato. Questo è sia rassicurante che preoccupante: le difese del modello sono abbastanza incoerenti da far sì che la stessa classe di attacco a volte abbia successo e a volte fallisca.

      Cinquanta bypass e contando

      RyotaK afferma di aver ora segnalato circa 50 modi separati per bypassare il sistema di autorizzazione di Claude Code ed eseguire comandi. La scoperta fa parte di un'ondata più ampia di attacchi alla supply chain che prendono di mira strumenti di sviluppo alimentati da AI, dall'estensione VS Code avvelenata che ha violato i repository di GitHub stesso a pacchetti npm malevoli progettati per raccogliere credenziali dagli assistenti di codifica AI.

      La remediation è semplice: aggiorna a claude-code-action v1.0.94 o successiva, esamina qualsiasi flusso di lavoro che consenta a utenti o bot non autorizzati di attivare Claude, rimuovi segreti non necessari dall'ambiente e rimuovi strumenti e autorizzazioni che potrebbero essere utilizzati per l'esfiltrazione.

      Il problema più profondo è strutturale. L'iniezione di prompt rimane irrisolta. Un agente AI con strumenti reali e token reali può essere spinto fino a dove le sue autorizzazioni lo consentono, e le autorizzazioni che la maggior parte delle organizzazioni concede per impostazione predefinita sono di gran lunga più ampie della superficie di attacco che sono pronte a difendere.