Los investigadores de seguridad descubrieron una falla en Claude Code GitHub Action de Anthropic. Esta vulnerabilidad permitió a un atacante apoderarse de un repositorio público vulnerable que ejecutaba un único problema de GitHub con un solo problema abierto. El propio repositorio de acciones de Anthropic utilizó el mismo flujo de trabajo, por lo que si el ataque funcionó, se podría insertar código malicioso en la acción misma y en los proyectos posteriores que generaron la acción.
RyotaK de GMO Flatt Security informó a Anthropic sobre la derivación del núcleo en enero, y Anthropic lo arregló en cuatro días y lo fortaleció aún más durante la primavera. La solución está incluida en claude-code-action v1.0.94. Anthropic calificó el problema con 7.8 en CVSS v4.0 y pagó una recompensa por errores.
Claude Code GitHub Actions coloca a Claude en su canal de CI/CD para priorizar problemas, pegar etiquetas, revisar solicitudes de extracción o ejecutar comandos de barra diagonal. De forma predeterminada, los flujos de trabajo obtienen acceso de lectura y escritura al código, problemas, solicitudes de extracción, discusiones y archivos de flujo de trabajo en su repositorio. Estos permisos son amplios, por lo que una acción debe ser selectiva sobre quién puede activarla, es decir, sólo los usuarios con acceso de escritura.
Había un agujero en el control del gatillo. Atacamos a atacantes cuyos nombres terminan en (bot), asumiendo que los administradores confían en las aplicaciones de GitHub y las instalan. El problema es que cualquiera puede registrar una aplicación GitHub, instalarla en un repositorio de su propiedad y usar ese token para abrir incidencias y realizar solicitudes en repositorios públicos. Esta acción reconoció al «bot» y permitió que pasara el contenido del atacante. El modo Etiqueta tenía controles adicionales para garantizar que los actores fueran personas reales. No funcionó en modo agente por lo que permaneció abierto.
A partir de ahí, el atacante utiliza una inyección rápida indirecta. Esta es una técnica que incorpora instrucciones dentro del contenido que lee la IA y hace que el modelo siga esas instrucciones en lugar de la tarea real. RyutaK creó un problema cuyo cuerpo parecía un mensaje de error y perfeccionó el mensaje hasta que Claude se «recuperó» ejecutando un comando integrado en él. El objetivo es /proc/self/environ, un archivo de Linux que contiene las variables de entorno del proceso, incluidos los secretos. Claude Code bloquea la lectura simple, pero RyotaK evita la guardia de todos modos y obliga a Claude a escribir el valor en el problema, lo que permite al atacante recuperar el valor.
La más importante de estas variables es el par de credenciales que utiliza GitHub Actions para solicitar el token OIDC. El token OIDC es un token firmado que demuestra que este flujo de trabajo se está ejecutando en este repositorio. Claude Code intercambia ese token con el backend de Anthropic para obtener un token de instalación para la aplicación Claude GitHub con acceso de escritura. Robar estas credenciales y volver a ejecutar el intercambio conserva el acceso de escritura al código, los problemas y los flujos de trabajo del objetivo. Apuntarlo al repositorio de claude-code-action en sí puede contaminar las acciones que extraen los proyectos posteriores.
RyutaK también marcó una ruta más suave que omitió por completo el truco del bot. El flujo de trabajo de clasificación de problemas de ejemplo de Anthropic viene con permitido_non_write_users: «*» para permitir que cualquiera pueda activarlo, pero esta configuración ya está marcada como insegura en la documentación de Anthropic. Para empeorar las cosas, Claude estaba publicando un resumen de la tarea en el panel de resumen visible públicamente de la ejecución del flujo de trabajo. Este es un método listo para usar para extraer datos. Muchos repositorios copiaron ese ejemplo y heredaron su agujero.
También existe una ruta para los atacantes que pueden editar el problema pero no pueden activar el cierre por sí mismos. Es decir, edite el problema del usuario confiable después de que se inicie el flujo de trabajo pero antes de que Claude lo lea y la carga útil se incluya como una entrada «confiable».
¿Qué hacer? Actualice a claude-code-action v1.0.94 o posterior. A continuación, audite los flujos de trabajo que permiten a los usuarios o bots sin acceso de escritura activar Claude. Si recibe información que no es de confianza, no ingrese secretos más allá de la clave API de Anthropic y GITHUB_TOKEN. También elimina herramientas y privilegios que pueden usarse para filtraciones.
Nada de esto es teórico. La misma configuración, la IA, los permisos amplios y las inyecciones rápidas ya están causando estragos en las cadenas de suministro.
En febrero, un título de problema de inyección rápida para el flujo de trabajo Claude Code Action Triage de Cline permitió a los atacantes robar tokens públicos npm y enviar cline@2.3.0 no autorizado. Esta versión maliciosa simplemente forzó la instalación de otro agente de IA no malicioso y se eliminó después de aproximadamente 8 horas, pero la misma cadena podría haber enviado fácilmente el malware real a cualquiera que actualizara. El robot autónomo «HackerBot-Claw» investigó las configuraciones erróneas de GitHub Actions en proyectos de Microsoft, Datadog, CNCF y otros a finales de febrero, pero cuando intentó inyectar rápidamente a los revisores de Claude a través de un archivo de configuración contaminado, Claude lo detectó y lo rechazó.
No hay ninguna indicación pública de que este camino exacto de interferir con las propias acciones de Anthropic se haya utilizado contra un objetivo vivo. RyutaK sólo lo ha probado en su propio repositorio de pruebas y tiene cuidado de distinguirlo de las variantes mencionadas anteriormente que han sido explotadas en la naturaleza.
RyutaK dice que actualmente ha informado sobre 50 formas distintas de eludir el sistema de permisos de Claude Code y ejecutar comandos. Esto es parte de un flujo constante de fallas de inyección rápida en agentes de codificación de IA. La inyección rápida aún no está resuelta, y los agentes con herramientas reales y tokens reales pueden ser empujados hasta donde los permisos lo permitan.
Source link
