微软警告:Claude Code存在提示词注入漏洞,可致GitHub凭证泄露
阅读原文· ithome.com微软研究人员发现Anthropic旗下Claude Code的GitHub自动化流程存在漏洞,攻击者可通过提示词注入攻击,劫持CI/CD工作流窃取敏感凭证。漏洞源于Claude Code的读取工具未像Bash工具那样设置沙箱防护,恶意提示词可绕过两层防护读取系统文件中的API密钥等凭证。Anthropic于4月29日收到报告后,在5月5日发布Claude Code 2.1.128修复,通过限制对/proc/目录下敏感文件的访问防止信息窃取。
IT之家 6 月 7 日消息,微软研究人员发现,Anthropic 旗下 Claude Code 的 GitHub 自动化流程存在一处漏洞,该漏洞可能导致持续集成 / 持续部署(CI / CD)工作流中的机密信息泄露,攻击者或可通过提示词注入攻击窃取敏感凭证。
微软威胁情报团队在监测到公开代码库中出现针对人工智能辅助型 GitHub 工作流的提示词注入尝试后,启动了本次研究。
据IT之家了解,提示词注入是一类人工智能安全漏洞。攻击者会在大模型处理的内容中嵌入误导性指令,以此操控模型行为。大型语言模型的常规设计逻辑是遵循开发者指令、响应用户提问,而攻击者会设法诱骗模型,使其无视预设指令。
研究人员举例说明,有攻击者将注入指令藏在 HTML 注释中。这类内容在 GitHub 展示界面中不可见,但读取原始 Markdown 源码的人工智能模型却能识别。涉事代码库当时借助 GitHub 自动化流程来自动处理工单问题。
攻击者可将恶意指令伪装成普通的功能需求,无需获得项目修改权限,仅需提交一条 GitHub 工单,就能诱骗人工智能机器人代为执行修改操作。
微软证实,同类提示词注入手段同样可针对 Anthropic 的 Claude Code GitHub 自动化流程发起攻击。此前 Anthropic 已为部分工具(例如可让 Claude 在系统中执行命令的 Bash 工具)设置了沙箱防护。
但微软发现,Claude 用于读取文件的读取工具并未受到同等安全限制。
研究人员制作了提示词注入攻击载荷,对该漏洞进行验证测试。测试中,恶意提示词成功绕过两层防护,诱导这款人工智能助手读取了存放着应用程序接口密钥及其他凭证的系统文件。