微软警告称 ClaudeCode 存在漏洞，可能导致 GitHub 账号凭证泄露

6 月 7 日消息，微软研究人员发现，Anthropic 旗下 Claude Code 的 GitHub 自动化流程存在一处漏洞，该漏洞可能导致持续集成 / 持续部署（CI / CD）工作流中的机密信息泄露，攻击者或可通过提示词注入攻击窃取敏感凭证。

微软威胁情报团队在监测到公开代码库中出现针对人工智能辅助型 GitHub 工作流的提示词注入尝试后，启动了本次研究。

据了解，提示词注入是一类人工智能安全漏洞。攻击者会在大模型处理的内容中嵌入误导性指令，以此操控模型行为。大型语言模型的常规设计逻辑是遵循开发者指令、响应用户提问，而攻击者会设法诱骗模型，使其无视预设指令。

研究人员举例说明，有攻击者将注入指令藏在 HTML 注释中。这类内容在 GitHub 展示界面中不可见，但读取原始 Markdown 源码的人工智能模型却能识别。涉事代码库当时借助 GitHub 自动化流程来自动处理工单问题。

攻击者可将恶意指令伪装成普通的功能需求，无需获得项目修改权限，仅需提交一条 GitHub 工单，就能诱骗人工智能机器人代为执行修改操作。

微软证实，同类提示词注入手段同样可针对 Anthropic 的 Claude Code GitHub 自动化流程发起攻击。此前 Anthropic 已为部分工具（例如可让 Claude 在系统中执行命令的 Bash 工具）设置了沙箱防护。

但微软发现，Claude 用于读取文件的读取工具并未受到同等安全限制。

研究人员制作了提示词注入攻击载荷，对该漏洞进行验证测试。测试中，恶意提示词成功绕过两层防护，诱导这款人工智能助手读取了存放着应用程序接口密钥及其他凭证的系统文件。

微软于 4 月 29 日向 Anthropic 上报了该漏洞。Anthropic 已于 5 月 5 日发布 Claude Code 2.1.128 版本完成修复，通过限制程序对 /proc/ 目录下敏感文件的访问，防止相关信息被非法窃取。