Исследователи Microsoft обнаружили уязвимость в GitHub Action Claude Code от Anthropic, позволяющую злоумышленникам украсть секретные данные из пайплайнов разработки. Атака основана на технике prompt injection — внедрении вредоносных инструкций в GitHub issues, pull requests или комментарии, которые AI-агент анализирует и выполняет.
Опасность заключалась в том, что такие AI-инструменты работают в CI/CD окружениях с доступом к ключам API и другим конфиденциальным данным. Используя уязвимость, атакующий мог заставить Claude Code получить доступ к файлам с учётными данными, обойти встроенные механизмы безопасности и вывести данные через комментарии, логи или веб-запросы.
Microsoft смогла воспроизвести атаку, создав специальный GitHub workflow с вредоносными подсказками, которые обманывали защиту Claude и систему сканирования секретов GitHub. Уязвимость была устранена Anthropic в версии 2.1.128 Claude Code 5 мая после сообщения Microsoft через платформу HackerOne.
Этот инцидент подчёркивает новые риски безопасности в работе с AI-агентами, особенно когда такие инструменты взаимодействуют с не всегда доверенными текстовыми данными. Один лишь продуманный комментарий может привести к краже важных данных в производственной среде.