微软警告称 ClaudeCode 存在漏洞,可能导致 GitHub 账号凭证泄露
一句话看懂:微软安全团队发现,Anthropic 的 AI 编程助手 Claude Code 在 GitHub 自动化流程中存在提示词注入漏洞,攻击者可通过提交带有恶意指令的工单,诱导 AI 读取并泄露存放 API 密钥和凭证的系统文件。该漏洞已于 5 月 5 日被修复。
事件核心:发生了什么
微软威胁情报团队在监测到公开代码库中出现针对 AI 辅助型 GitHub 工作流的攻击尝试后,启动了专项研究。他们发现,Anthropic 旗下的 Claude Code 在 GitHub CI/CD 自动化流程中存在漏洞。攻击者无需获得项目修改权限,只需提交一条 GitHub 工单,便可通过隐藏在 HTML 注释中的提示词注入指令,操纵 Claude Code 无视预设指令。
在微软的验证测试中,恶意提示词成功绕过了 Claude Code 对 Bash 工具设置的沙箱防护,利用其“读取文件”工具访问了 /proc/ 目录下存储 API 密钥及其他凭证的系统文件。这项漏洞于 4 月 29 日上报给 Anthropic,后者在 5 月 5 日发布的 Claude Code 2.1.128 版本中通过限制对 /proc/ 目录的读取权限完成了修复。
为什么重要
这一事件揭示了 AI 编程助手在集成到开发工具链时普遍存在的安全盲区。提示词注入并非全新威胁,但当 AI 工具被赋予执行系统命令、读取敏感文件等权限后,攻击面被显著放大。此次漏洞的核心在于,Anthropic 对不同内置工具的防护策略不一致——Bash 工具已有沙箱,但文件读取工具被遗漏。这提醒整个行业:AI 产品在功能开发中必须对所有可执行动作进行统一的安全审查。对于依赖 AI 自动化代码审查、提 PR、处理工单的团队,此类漏洞直接威胁到 GitHub 凭证、云服务密钥等核心资产的安全。
对用户/开发者/创作者的影响
对于使用 Claude Code 的开发者,应立即确认当前版本是否为 2.1.128 或更新版本。该漏洞主要影响在 GitHub 自动化工作流中部署了 Claude Code(例如自动处理 Issue 或 PR)的项目。如果项目通过 AI 自动化工具管理仓库,建议对 AI 能访问的敏感文件路径进行严格限制,并审查 CI/CD 日志以确认是否有异常读取行为。对于未部署此类自动化流程的个人用户,直接使用的风险较低,但该案例仍是评估 AI 工具安全性的重要参考——在选择 AI 编程助手时,应优先考虑厂商对其工具权限控制与沙箱防护的公开承诺。
AI 工具推荐
想把多个 AI 模型放在一个入口?
GamsGo AI 集成 ChatGPT、DeepSeek、Gemini、Claude、Midjourney、Veo 等常用模型,适合写作、绘图、视频和日常 AI 工作流。
推广链接:通过此链接购买,我可能获得佣金,不影响你的价格。
值得关注的后续
目前公开信息显示,Anthropic 已在一个月内完成漏洞修复,反应速度较快。值得继续观察的方向包括:1)其他 AI 编程助手(如 GitHub Copilot、Cursor 等)是否会被发现类似文件读取权限漏洞,引发行业大规模自查;2)提示词注入攻击是否会从“验证概念”阶段进入真实攻击场景,从而推动 AI 开发工具的安全标准制定;3)Anthropic 是否会为 Claude Code 的所有内置工具统一应用沙箱策略,并在产品文档中明确权限边界。
来源:Readhub · AI
