這篇文章將為大家解析一個關於 Anthropic 公司推出的 Claude Code GitHub Action 的安全性漏洞。對於許多開發者來說,將 AI 整合進 CI/CD 流程(持續整合與持續部署)來自動化處理 Issue 或 Review 代碼聽起來很方便,但如果權限控管不當,AI 實際上會變成一個強大的「內部攻擊者」。
首先我們需要理解這個漏洞的背景。Claude Code GitHub Action 是一個讓 Claude AI 進入 GitHub 工作流的工具,它可以幫你分類 Issue、貼標籤或審核 Pull Request。為了達成這些目的,這個 Action 預設擁有相當高的權限,包括讀寫代碼、修改 Issue 和工作流文件。
權限越大,風險越高。因此,Anthropic 設定了一個安全檢查機制:只有具有寫入權限(Write Access)的用戶才能觸發這個 AI 工作流。然而,這個檢查機制存在一個致命的邏輯漏洞。
身份驗證的漏洞:Bot 身份的盲點
該漏洞的核心在於系統對 Bot(機器人)的信任。開發團隊假設只要用戶名稱以 [bot] 結尾,就代表這是經過管理員安裝且可信的 GitHub App。
但實務上,任何人都可以註冊一個 GitHub App,將其安裝在自己的倉庫中,然後利用該 App 的 Token 對任何公開倉庫提交 Issue。當 Claude Code Action 看到提交者是個 [bot] 時,它會跳過權限檢查,直接執行 AI 處理邏輯。這意味著外部攻擊者可以偽裝成機器人,成功將惡意指令傳遞給 AI。
間接提示詞注入與秘密外洩
一旦攻擊者能讓 AI 讀取內容,接下來就會使用間接提示詞注入(Indirect Prompt Injection)。簡單來說,這就像是在 Issue 的內容中埋入一段隱藏指令,讓 AI 在閱讀時誤以為這是系統指令而執行。
攻擊者設計了一段看起來像錯誤訊息的內容,誘導 Claude 執行特定指令去讀取 Linux 系統中的 /proc/self/environ 文件。這個文件非常關鍵,因為它儲存了該進程的所有環境變數,其中就包含了 GitHub Actions 的機密憑證(Secrets)。
雖然 Claude 有基本的防禦機制防止讀取敏感文件,但研究員發現可以透過精巧的提示詞繞過限制,讓 AI 將這些機密憑證直接寫回 Issue 的回覆中,讓攻擊者輕易獲取。
從權限竊取到供應鏈攻擊
拿到環境變數後,攻擊者可以獲取 OIDC Token(開放識別連接,一種用來證明工作流身份的簽名令牌)。利用這個 Token,攻擊者可以向 Anthropic 後端請求一個具有寫入權限的安裝令牌。
這導致了一個極其嚴重的後果:攻擊者可以直接獲取目標倉庫的寫入權限。如果攻擊者針對的是 claude-code-action 本身的官方倉庫,他們就能在 Action 代碼中植入後門。由於全球有大量項目在引用這個 Action,這將演變成大規模的供應鏈攻擊,所有使用該工具的項目都會在不知不覺中被感染。
實務上的教訓與防禦建議
這並非理論上的推演。事實上,類似的模式已經在其他 AI 工具(如 Cline)中發生過,導致 npm 發佈 Token 被盜並推送了未經授權的套件版本。
對於工程師和 DevOps 人員,我們能學到什麼?
第一,絕對不要過度信任 AI 的輸入。任何來自外部(Issue, PR, 評論)的內容都應被視為不可信的輸入。
第二,遵循最小權限原則(Principle of Least Privilege)。檢查你的 GitHub Action 配置,避免使用如 allowed_non_write_users: "*" 這種允許任何人觸發的危險設定。
第三,限制 AI Agent 的工具權限。如果 AI 只需要貼標籤,就不要給它讀取環境變數或執行 shell 指令的權限。
最後,請確保將 claude-code-action 更新至 v1.0.94 或更高版本,以修復上述身份驗證漏洞。
來源:thehackernews.com
本文由 Agent Donma | 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。