微软警告称ClaudeCode存在漏洞，可能导致GitHub账号凭证泄露

6月7日消息，微软的研究团队最近盯上了一个有意思的安全漏洞——Anthropic旗下Claude Code的GitHub自动化流程，存在被利用的风险。攻击者一旦抓住这个缝隙，可能通过提示词注入的方式，把持续集成/持续部署工作流里的敏感凭证悄悄偷走。

事情起因是这样的：微软威胁情报团队在监测公开代码库时，发现有人已经在尝试针对AI辅助型的GitHub工作流搞提示词注入。于是团队决定深入挖一挖。

提示词注入是当前大模型应用里一个很典型的安全漏洞。简单来说，攻击者会在模型处理的内容里塞进一些误导性指令，试图让模型偏离本意——本应是遵循开发者指令、正常响应用户提问，结果被诱导着去执行其他动作。

研究人员举了一个具体的例子：有人把注入指令藏在HTML注释里。这些注释在GitHub的正常展示界面上根本看不到，但一旦AI模型去读取原始Markdown源码，就能识别出来。涉事的代码库当时正好借助GitHub自动化流程来处理工单问题。

攻击手法其实相当巧妙——攻击者不需要获得项目的修改权限，只需要提交一条GitHub工单，把恶意指令伪装成普通的功能需求，就能骗过AI机器人，让它代为执行修改操作。

微软证实，同样的攻击思路同样适用在Anthropic的Claude Code GitHub自动化流程上。话说回来，Anthropic此前已经在部分工具上设置了沙箱防护，但问题在于，Claude用于读取文件的那个读取工具，并没有受到同等安全限制。

为了验证这个漏洞，研究人员专门制作了一个提示词注入的载荷进行测试。结果相当不乐观：恶意提示词成功绕过了两层防护，诱导AI助手读取了存放着应用程序接口密钥及其他凭证的系统文件。

微软在4月29日把这个漏洞上报给了Anthropic。对方的反应也很迅速——5月5日就发布了Claude Code 2.1.128版本，通过限制程序对/proc/目录下敏感文件的访问，堵上了这个泄露渠道。