微软披露Claude Code提示注入漏洞、可窃CI/CD凭证、Anthropic已修补
2026-06-07分类:人工智能 阅读()
据《Decrypt》报导,微软资安团队揭露Anthropic 旗舰开发者CLI 工具Claude Code 存在提示注入(prompt injection)漏洞、攻击者可在GitHub Issue、Pull Request 或留言中藏入恶意指令、诱使Claude Code 在CI/CD 环境中读取并外传API 金钥、云端凭证、Production 环境凭证。漏洞于4 月29 日经HackerOne 通报给Anthropic、Anthropic 于5 月5 日完成修补、影响范围为Claude Code 2.1.128 及以前版本。
攻击向量:把恶意指令藏在GitHub 文字内容里
传统的程式漏洞需要构造恶意输入或绕过逻辑、但AI 程式助理面对的是「自然语言即可执行的程式码」。微软示范的攻击路径是把恶意shell payload 包进GitHub Issue 或PR 描述、当Claude Code 在处理该档案、执行使用者指示时、会把这段隐藏指令当成额外指令解读、可能呼叫shell 工具读取本机环境变数、档案或秘密管理服务、再把内容外传至攻击者控制的网域。
微软资安研究员的关键句是「自然语言就是可执行的程式码、来自GitHub Issue 这类未经审查的输入、必须预设视为恶意」。意思是AI 程式助理的设计、必须把所有外部文字内容都当成不可信、否则就会把「读文件」这个动作变成攻击面。
修补时间轴:4/29 通报、5/5 修补、2.1.128 为最后受影响版本
本次漏洞由微软资安研究员透过HackerOne 平台于4 月29 日通报、Anthropic 在6 日后完成修补并发布新版。受影响范围涵盖Claude Code 2.1.128 及以前所有版本。 Anthropic 未公开CVE 编号或CVSS 严重性评分、Decrypt 报导也未引述Anthropic 直接回应。当前Claude Code 用户若仍停留于2.1.128 或更早版本、建议立即升级。
对「在CI/CD 跑AI 代理」这个新范式的警示
微软强调、这个案例的意义不只是Claude Code 单一漏洞、而是AI 程式代理在CI/CD 环境中执行、本身就是新类型的攻击面。传统CI 环境的攻击面是预设指令稿与依赖项;当AI 代理进入流程、攻击面扩展到「任何代理可读的文字内容」、包括Issue 标题、PR 描述、Commit 讯息、甚至外部依赖的README。对开发团队的影响是:要把AI 代理当作有权限的执行者来治理、而不是当作另一个编辑器。
对Anthropic 而言、本次事件揭露之后仍要面对「Claude Code 是Anthropic 80% 程式码撰写者」这个自家公开事实的双面性:产品强到能撑起公司内部开发、就代表攻击者能挟持的范围也跟着放大。在6 月4 日Anthropic 公开呼吁全球暂停前沿模型开发的脉络下、本次漏洞的时间点让「AI 代理人速度跑得比治理快」的论述、有了具体案例。
Tags:
