IT之家 6 月 7 日消息，微軟研究人員發(fā)現(xiàn)，Anthropic 旗下 Claude Code 的 GitHub 自動化流程存在一處漏洞，該漏洞可能導致持續(xù)集成 / 持續(xù)部署（CI / CD）工作流中的機密信息泄露，攻擊者或可通過提示詞注入攻擊竊取敏感憑證。

微軟威脅情報團隊在監(jiān)測到公開代碼庫中出現(xiàn)針對人工智能輔助型 GitHub 工作流的提示詞注入嘗試后，啟動了本次研究。

據(jù)IT之家了解，提示詞注入是一類人工智能安全漏洞。攻擊者會在大模型處理的內(nèi)容中嵌入誤導性指令，以此操控模型行為。大型語言模型的常規(guī)設計邏輯是遵循開發(fā)者指令、響應用戶提問，而攻擊者會設法誘騙模型，使其無視預設指令。

研究人員舉例說明，有攻擊者將注入指令藏在 HTML 注釋中。這類內(nèi)容在 GitHub 展示界面中不可見，但讀取原始 Markdown 源碼的人工智能模型卻能識別。涉事代碼庫當時借助 GitHub 自動化流程來自動處理工單問題。

攻擊者可將惡意指令偽裝成普通的功能需求，無需獲得項目修改權限，僅需提交一條 GitHub 工單，就能誘騙人工智能機器人代為執(zhí)行修改操作。

微軟證實，同類提示詞注入手段同樣可針對 Anthropic 的 Claude Code GitHub 自動化流程發(fā)起攻擊。此前 Anthropic 已為部分工具（例如可讓 Claude 在系統(tǒng)中執(zhí)行命令的 Bash 工具）設置了沙箱防護。

但微軟發(fā)現(xiàn)，Claude 用于讀取文件的讀取工具并未受到同等安全限制。

研究人員制作了提示詞注入攻擊載荷，對該漏洞進行驗證測試。測試中，惡意提示詞成功繞過兩層防護，誘導這款人工智能助手讀取了存放著應用程序接口密鑰及其他憑證的系統(tǒng)文件。

微軟于 4 月 29 日向 Anthropic 上報了該漏洞。Anthropic 已于 5 月 5 日發(fā)布 Claude Code 2.1.128 版本完成修復，通過限制程序?qū)?/proc/ 目錄下敏感文件的訪問，防止相關信息被非法竊取。

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。