AnthropicのClaude Code GitHub Actionに、現在は修正済みの脆弱性があることをMicrosoftの研究者らが明らかにしました。この脆弱性により、プロンプトインジェクション攻撃を通じて攻撃者が資格情報を露出させられる可能性がありました。Microsoftは4月29日にHackerOneでこの問題を開示し、Anthropicは5月5日にClaude Codeのバージョン2.1.128でパッチをリリースしました。この脆弱性は、CI/CDワークフロー上で動作するAIエージェントを悪用し、GitHubのイシュー、プルリクエスト、またはコメントに隠された不正な指示によってAIを操作し、機密情報へアクセスさせるというものでした。Microsoftは、AIのコーディングエージェントは開発環境にAPIキー、クラウドの資格情報、その他の機密データが含まれがちなため、新たなセキュリティリスクを生むと警告しました。
Microsoft Researchers Exposed Prompt Injection Attack Vector in Claude Code
Microsoftの研究者らは、攻撃者がGitHubのイシュー、プルリクエスト、またはコメントに隠されたプロンプトインジェクション攻撃を使い、Claude Codeを操作して機密の資格情報を含むファイルにアクセスさせられる可能性を見つけました。金曜日のブログ投稿でMicrosoftは、研究が「複数ベンダーにまたがるAI支援のGitHubワークフローで、公的リポジトリに対するプロンプトインジェクションの試みを観察したことをきっかけに」始まったと述べました。そこでは、攻撃者が制御するイシューまたは[プルリクエスト]のコンテンツがAIエージェントによって処理され、そのツールの使い方に影響を与え得るのです。
脆弱性を検証するため、MicrosoftはGitHubのワークフローを作成し、攻撃者が誘導する指示を、同社が管理するドメイン上でホストされたコンテンツの背後に偽装しました。これにより、研究者らはClaudeの安全対策を回避できました。プロンプトインジェクション攻撃は、Claudeに機密の資格情報を読み取らせ、Claudeの保護機構とGitHubのシークレットスキャンツールの両方を回避するためにそれらを変更させました。Microsoftによると、その後攻撃者は資格情報を再構成し、イシューコメント、ワークフローログ、Webリクエスト、またはシェルコマンド経由でそれを流出させられる可能性があるとのことです。
「Sonnetの拒否(refusal)安全メカニズムを回避するために、シェルのペイロードを当社が制御するドメインからの応答で隠しました」とMicrosoftは述べました。「また、Anthropicの環境変数のスクラブに関する軽減策が、テスト中に有効になっていることを確認するため、書き込み('write')権限のないユーザーによってもワークフローがトリガーされるようにしました。」
Anthropic Patched Vulnerability on May 5 After HackerOne Disclosure
Anthropicは、4月29日にMicrosoftがHackerOne経由でこの脆弱性を開示した後、5月5日にClaude Codeのバージョン2.1.128でこの欠陥を修正しました。Claude Codeは、ソフトウェア開発タスク向けのAnthropicのAIコーディングエージェントで、10月に公開されました。このツールは、Anthropicが誤って自社のソースコードの50万行超を公開してしまい、内部アーキテクチャの詳細が明らかになったことを受けて、3月に注目を集めました。
GitHubでは、プルリクエストにより開発者がコードリポジトリへの変更案を提示し、承認されてマージされる前にその変更をレビューできます。この脆弱性は、このレビュー手順を悪用し、AIエージェントが処理することになる不正な指示を埋め込むことで成立していました。
Microsoft Warns Natural Language Functions as Executable Code in AI Systems
多層の組み込みセキュリティ制御にもかかわらず、Microsoftは、攻撃者が巧妙にAIエージェントを操作すれば、機密情報を開示させられる可能性があると見つけました。「私たちは、自然言語が実行可能コードになる時代に入っています。GitHubのイシューのような信頼できない入力は、デフォルトで敵対的なものとして扱う必要があります」とMicrosoftは述べました。「誤解された信頼境界と組み合わせられた、慎重に作られた1つのコメントだけで、生産環境の資格情報を持ち去られる結果になります。」
このレポートは、プロンプトインジェクション攻撃がAIエージェントにとって最大級のセキュリティ脅威の1つとして台頭していることを背景にしています。プロンプトインジェクション攻撃では、攻撃者が電子メール、文書、Webサイト、またはコードコメントのようなコンテンツに指示を隠し、AIシステムに対してユーザーの指示ではなく、その指示に従わせます。
FAQ
MicrosoftはClaude CodeのGitHub Actionでどんな脆弱性を発見しましたか?
Microsoftの研究者らは、AnthropicのClaude Code GitHub Actionが、GitHubのイシュー、プルリクエスト、またはコメントに隠されたプロンプトインジェクション攻撃によって操作され得ることを見つけました。この脆弱性により、攻撃者はAIエージェントに機密ファイルへアクセスさせ、イシューコメント、ワークフローログ、Webリクエスト、またはシェルコマンド経由で情報を持ち出させることで、ソフトウェア開発パイプラインに保存された資格情報を露出させられる可能性がありました。
AnthropicはいつClaude Codeの脆弱性を修正しましたか?
Anthropicは、4月29日にMicrosoftがHackerOne経由でこの問題を開示した後、5月5日にClaude Codeのバージョン2.1.128で脆弱性を修正しました。このパッチは、CI/CDワークフロー内でAIエージェントを操作可能にしていたプロンプトインジェクション攻撃の経路に対処しました。
なぜAIコーディングエージェントはプロンプトインジェクション攻撃に対して脆弱なのですか?
Microsoftは、CI/CDワークフローの中で動作するAIコーディングエージェントは、新たなセキュリティリスクを生むと警告しました。なぜなら、そうした環境には多くの場合APIキー、クラウドの資格情報、その他の機密情報へのアクセスがあるからです。プロンプトインジェクション攻撃は、自然言語が実行可能コードとして機能し得るという点を悪用し、攻撃者がコードレビューの作業中にAIエージェントが処理するコンテンツに不正な指示を隠すことで成立します。
