近日,安全研究人员发现Anthropic公司Claude Code GitHub Action存在安全缺陷,攻击者仅需提交一个GitHub Issue就能接管运行该Action的公共仓库。由于Anthropic自身Action仓库使用相同工作流,成功利用该漏洞可向Action本体及下游项目注入恶意代码。
GMO Flatt Security的RyotaK于1月向Anthropic报告了该核心绕过漏洞,Anthropic在四天内完成修复,并在春季持续加固,最终修复版本为claude-code-action v1.0.94。Anthropic根据CVSS v4.0标准将该漏洞评为7.8分,并支付了漏洞赏金。
Part01
技术原理
Claude Code GitHub Action可将Claude AI集成至CI/CD流水线,用于分类Issue、添加标签、审查Pull Request或执行斜杠命令。默认情况下,该工作流拥有对仓库代码、Issue、Pull Request、讨论区和工作流文件的读写权限。虽然权限范围广泛,但设计上应仅允许具有写入权限的用户触发。
权限检查缺陷
漏洞源于触发器检查存在缺陷——任何名称以[bot]结尾的实体都会被放行,其假设前提是GitHub应用均由管理员可信安装。但事实上,任何人都能注册GitHub应用,将其安装到自己拥有的仓库,并利用其Token在任何公共仓库创建Issue或Pull Request。Action误将攻击者内容识别为"合法机器人"予以放行。标签模式设有额外的人类验证环节,但代理模式缺乏此检查,形成安全缺口。
间接提示注入攻击
攻击者随后采用间接提示注入技术——在AI读取的内容中植入指令,使模型执行攻击指令而非预设任务。RyotaK构造了伪装成错误信息的Issue内容,通过反复优化提示词,最终使Claude执行其中埋藏的命令。攻击目标指向Linux系统的/proc/self/environ文件,该文件包含进程环境变量(含敏感信息)。虽然Claude Code会阻止直接读取,但RyotaK仍成功绕过防护,诱使Claude将变量值回写到Issue中供攻击者窃取。
环境变量中最关键的是GitHub Actions用于获取OIDC Token的凭证对。Claude Code会将该Token与Anthropic后端交换,获取具有写入权限的Claude GitHub应用安装Token。窃取这些凭证并重放交换流程,攻击者即可获得目标仓库代码、Issue和工作流的写入权限。若针对claude-code-action仓库本身发起攻击,可污染下游项目引用的Action。
Part02
其他攻击路径
RyotaK还发现无需伪装机器人的简化攻击方式:Anthropic官方示例中的Issue分类工作流配置了allowed_non_write_users: "*"参数,允许任何人触发,其文档虽标注该设置存在风险,但大量仓库直接复制该示例继承了漏洞。更严重的是,Claude会将任务摘要发布至公开可见的工作流运行面板,形成数据泄露渠道。
对于仅能编辑Issue但无法直接触发Claude的攻击者,可在受信用户触发工作流后、Claude读取前篡改Issue内容,使恶意负载以"受信"输入形式注入。
Part03
修复建议
Part04
实际案例
同类漏洞(AI Issue分类器+宽泛权限+提示注入)已造成实际供应链攻击:
2月,攻击者通过提示注入的Issue标题,从Cline的claude-code-action分类工作流窃取npm发布Token,推送未授权的[email protected]版本。虽然该恶意版本仅强制安装无害的AI Agent并在8小时后下架,但同样攻击链可轻易分发真实恶意软件。
自动化"HackerBot-Claw"机器人2月底持续探测Microsoft、Datadog、CNCF等组织的GitHub Actions错误配置,当其尝试通过污染配置文件对基于Claude的审查者实施提示注入时,被Claude识别并拦截。
目前尚无证据表明针对Anthropic自身Action的直接攻击路径已被利用,RyotaK仅在其测试仓库验证可行性。据其透露,已累计报告约50种绕过Claude Code权限系统执行命令的方法,反映出AI编程Agent面临的提示注入威胁持续存在。只要Agent配备真实工具和Token,其权限范围内的操作都可能被恶意利用。
参考来源:
GitLab Patches Multiple Duo AI, DoS, and Authorization Flaws in Community and Enterprise Edition
https://cybersecuritynews.com/gitlab-patches-duo-ai-dos-flaws/
编辑:陈十九
审核:商密君
征文启事
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……




发表评论