Microsoft 揭露已修補的 Claude 代碼漏洞:該漏洞曝露了 GitHub 憑證
微軟研究人員披露了一項已修補的漏洞,該漏洞存在於 Anthropic 的 Claude Code 的 GitHub Action 中,攻擊者可透過提示注入(prompt injection)攻擊,讓憑證外洩。微軟於 4 月 29 日透過 HackerOne 披露該問題,Anthropic 則在 5 月 5 日發布修補程式,Claude Code 版本為 2.1.128。該漏洞遭利用於在 CI/CD 工作流程中執行的 AI 代理,在這些情境下,惡意指令若被隱藏於 GitHub issues、pull requests 或 comments 之中,就可能操縱 AI 存取敏感資訊。微軟警告稱,AI 程式編寫代理會帶來新的安全風險,因為開發環境往往包含 API keys、雲端憑證以及其他敏感資料。 微軟研究人員揭露:Claude Code 的提示注入攻擊途徑 微軟研究人員發現,攻擊者可以在 GitHub issues、pull requests 或 comments 中隱藏提示注入攻擊,藉此操縱 Claude Code 存取包含敏感憑證的檔案。週五在一篇部落格文章中,微軟表示研究始於「在多家供
2小時前