Thought Leadership
Microsoft-Forscher entdeckten eine Schwachstelle in Anthropics Claude Code GitHub Action, die vertrauliche CI/CD-Anmeldedaten durch Manipulation offenlegte.
Die Sicherheitsforscher von Microsoft Threat Intelligence haben eine Schwachstelle in der GitHub Action des Werkzeugs Claude Code von Anthropic identifiziert. Diese Sicherheitslücke ermöglichte es potenziellen Angreifern, vertrauliche Zugangsdaten aus den kontinuierlichen Integrations- und Bereitstellungspipelines (CI/CD) zu entwenden. Die Entdeckung erfolgte, nachdem das Microsoft-Team vermehrt Versuche von Prompt-Injection-Angriffen in öffentlichen Code-Verzeichnissen beobachtet hatte, die KI-gestützte Arbeitsabläufe nutzen.
Bei einer Prompt Injection werden dem Sprachmodell manipulierte Anweisungen untergeschoben, um dessen vordefinierte Sicherheitsregeln zu umgehen. Im konkreten Fall betteten die Angreifer schädliche Befehle in unsichtbare HTML-Kommentare innerhalb von GitHub-Issues. Für menschliche Betrachter blieben diese Texte im Browser unsichtbar, doch die künstliche Intelligenz las den rohen Markdown-Code aus. Da das betroffene Repository automatisierte Workflows zur Fehlerbehebung nutzte, reichte das bloße Einreichen eines solchen manipulierten Beitrags aus, um die KI ohne direkte Systemrechte zu steuern.
Fehlende Einschränkungen beim Dateizugriff der KI
Die Sicherheitsanalysten von Microsoft wiesen nach, dass dieses Angriffsverfahren auch gegen die offizielle GitHub Action von Anthropics Claude Code erfolgreich eingesetzt werden konnte. Anthropic hatte für bestimmte Werkzeuge des Assistenten, wie die Ausführung von Bash-Befehlen im System, bereits Sicherheitsbarrieren in Form von isolierten Software-Umgebungen (Sandboxing) eingerichtet. Das integrierte Read-Werkzeug, welches dem KI-Assistenten das Auslesen von Dateien erlaubt, unterlag jedoch nicht denselben strengen Sicherheitsbeschränkungen.
In einer kontrollierten Testumgebung gelang es den Forschern, die Schutzmechanismen des KI-Modells gezielt auszuhebeln. Sie tarnten den schädlichen Prompt als eine vermeintliche Überprüfung zur Einhaltung von Compliance-Richtlinien. Auf diese Weise umgingen sie die internen Filter, die normalerweise das Ausgeben von geschützten API-Schlüsseln blockieren. Der manipulierte Assistent griff daraufhin auf die Systemdatei unter dem Pfad /proc/self/environ zu. Diese Datei enthielt unter anderem den unverschlüsselten API-Schlüssel des Herstellers (ANTHROPIC_API_KEY) sowie weitere sensible Anmeldedaten des aktiven GitHub-Laufzeitsystems.
Bereitstellung eines Sicherheitsupdates durch Anthropic
Nach der erfolgreichen Verifizierung des Angriffsvektors informierte Microsoft das zuständige Entwicklungsteam von Anthropic am 29. April über die Schwachstelle. Anthropic reagierte auf den Vorfall und veröffentlichte am 5. Mai ein entsprechendes Sicherheitsupdate. Mit der Bereitstellung der Version 2.1.128 von Claude Code wurde die Sicherheitslücke geschlossen. Die Entwickler implementierten eine restriktive Zugriffskontrolle für das Dateizugriffswerkzeug, welche den Zugriff auf sensible Systemdateien im Verzeichnis /proc/ bedingungslos blockiert. Auf diese Weise wird verhindert, dass interne Umgebungsvariablen und Geheimnisse über den KI-Assistenten nach außen abfließen können.
