微軟披露 Claude Code 提示注入漏洞、可竊 CI/CD 憑證、Anthropic 已修補
據《Decrypt》報導,微軟資安團隊揭露 Anthropic 旗艦開發者 CLI 工具 Claude Code 存在提示注入(prompt injection)漏洞、攻擊者可在 GitHub Issue、Pull Request 或留言中藏入惡意指令、誘使 Claude Code 在 CI/CD 環境中讀取並外傳 API 金鑰、雲端憑證、Production 環境憑證。漏洞於 4 月 29 日經 HackerOne 通報給 Anthropic、Anthropic 於 5 月 5 日完成修補、影響範圍為 Claude Code 2.1.128 及以前版本。
攻擊向量:把惡意指令藏在 GitHub 文字內容裡
傳統的程式漏洞需要構造惡意輸入或繞過邏輯、但 AI 程式助理面對的是「自然語言即可執行的程式碼」。微軟示範的攻擊路徑是把惡意 shell payload 包進 GitHub Issue 或 PR 描述、當 Claude Code 在處理該檔案、執行使用者指示時、會把這段隱藏指令當成額外指令解讀、可能呼叫 shell 工具讀取本機環境變數、檔案或秘密管理服務、再把內容外傳至攻擊者控制的網域。
微軟資安研究員的關鍵句是「自然語言就是可執行的程式碼、來自 GitHub Issue 這類未經審查的輸入、必須預設視為惡意」。意思是 AI 程式助理的設計、必須把所有外部文字內容都當成不可信、否則就會把「讀文件」這個動作變成攻擊面。
廣告 - 內文未完請往下捲動
修補時間軸:4/29 通報、5/5 修補、2.1.128 為最後受影響版本
本次漏洞由微軟資安研究員透過 HackerOne 平台於 4 月 29 日通報、Anthropic 在 6 日後完成修補並發布新版。受影響範圍涵蓋 Claude Code 2.1.128 及以前所有版本。Anthropic 未公開 CVE 編號或 CVSS 嚴重性評分、Decrypt 報導也未引述 Anthropic 直接回應。當前 Claude Code 用戶若仍停留於 2.1.128 或更早版本、建議立即升級。
對「在 CI/CD 跑 AI 代理」這個新範式的警示
微軟強調、這個案例的意義不只是 Claude Code 單一漏洞、而是 AI 程式代理在 CI/CD 環境中執行、本身就是新類型的攻擊面。傳統 CI 環境的攻擊面是預設指令稿與依賴項;當 AI 代理進入流程、攻擊面擴展到「任何代理可讀的文字內容」、包括 Issue 標題、PR 描述、Commit 訊息、甚至外部依賴的 README。對開發團隊的影響是:要把 AI 代理當作有權限的執行者來治理、而不是當作另一個編輯器。
對 Anthropic 而言、本次事件揭露之後仍要面對「Claude Code 是 Anthropic 80% 程式碼撰寫者」這個自家公開事實的雙面性:產品強到能撐起公司內部開發、就代表攻擊者能挾持的範圍也跟著放大。在 6 月 4 日 Anthropic 公開呼籲全球暫停前沿模型開發的脈絡下、本次漏洞的時間點讓「AI 代理人速度跑得比治理快」的論述、有了具體案例。
風險提示
加密貨幣投資具有高度風險,其價格可能波動劇烈,您可能損失全部本金。請謹慎評估風險。
