IT之家6月7日消息,微软(MSFT)研究人员发现,Anthropic旗下Claude Code的GitHub自动化流程存在一处漏洞,该漏洞可能导致持续集成/持续部署(CI/CD)工作流中的机密信息泄露,攻击者或可通过提示词注入攻击窃取敏感凭证。
微软(MSFT)威胁情报团队在监测到公开代码库中出现针对人工智能(885728)辅助型GitHub工作流的提示词注入尝试后,启动了本次研究。
据IT之家了解,提示词注入是一类人工智能(885728)安全漏洞。攻击者会在大模型处理的内容中嵌入误导性指令,以此操控模型行为。大型语言模型的常规设计逻辑是遵循开发者指令、响应用户提问,而攻击者会设法诱骗模型,使其无视预设指令。
研究人员举例说明,有攻击者将注入指令藏在HTML注释中。这类内容在GitHub展示界面中不可见,但读取原始Markdown源码的人工智能(885728)模型却能识别。涉事代码库当时借助GitHub自动化流程来自动处理工单问题。
攻击者可将恶意指令伪装成普通的功能需求,无需获得项目修改权限,仅需提交一条GitHub工单,就能诱骗人工智能(885728)机器人代为执行修改操作。
微软(MSFT)证实,同类提示词注入手段同样可针对Anthropic的Claude Code GitHub自动化流程发起攻击。此前Anthropic已为部分工具(例如可让Claude在系统中执行命令的Bash工具)设置了沙箱防护。
但微软(MSFT)发现,Claude用于读取文件的读取工具并未受到同等安全限制。
研究人员制作了提示词注入攻击载荷,对该漏洞进行验证测试。测试中,恶意提示词成功绕过两层防护,诱导这款人工智能(885728)助手读取了存放着应用程序接口密钥及其他凭证的系统文件。
微软(MSFT)于4月29日向Anthropic上报了该漏洞。Anthropic已于5月5日发布Claude Code2.1.128版本完成修复,通过限制程序对/proc/目录下敏感文件的访问,防止相关信息被非法窃取。
