Error de acción de GitHub de Clod Code Secuestro de repositorio habilitado

El ataque comenzó con un problema de GitHub. No uno sofisticado. El único problema que abre una cuenta de bot es un cuerpo cuidadosamente redactado que parece un mensaje de error. Cuando la acción GitHub de Cloud Code lo selecciona para su clasificación, sigue instrucciones ocultas en su interior, lee las variables de entorno del proceso y las escribe de nuevo en el problema para que el atacante las recopile.

Estas variables contienen las credenciales necesarias para solicitar un token OIDC, que se puede intercambiar por un token de instalación de la aplicación Claude GitHub con acceso completo de escritura al código, los problemas y los flujos de trabajo del repositorio. Dirija un ataque al propio repositorio de acción de código en la nube de Anthropic, que ejecuta el mismo flujo de trabajo vulnerable, y puede envenenar la acción que arrastra miles de proyectos posteriores.

RyotaK, investigador de seguridad de GMO Flat Security, informó la vulnerabilidad a Anthropic en enero. La empresa arregló la derivación del núcleo en cuatro días, añadiendo rigidez adicional durante la primavera. Los parches están en claude-code-action v1.0.94. Anthropic calificó los problemas con 7.8 bajo CVSS v4.0 y otorgó $4,800.

Cómo funciona la derivación

💜 de tecnología de la UE

Los últimos rumores de la escena tecnológica de la UE, una historia de nuestro sabio fundador Boris y algo de arte de inteligencia artificial dudoso. Es gratis, todas las semanas, en tu bandeja de entrada. Regístrate ahora!

Código de Claude La acción de GitHub le da a Claude acceso de lectura y escritura al código del repositorio, problemas, solicitudes de extracción, discusiones y archivos de flujo de trabajo de forma predeterminada. Para limitar quién puede activar esas capacidades, la acción verifica si el actor tiene acceso de escritura al repositorio.

Había un agujero en el cheque. Confía automáticamente en cualquier actor cuyo nombre termine [bot]Suponiendo que las aplicaciones de GitHub son herramientas confiables instaladas por los administradores, cualquiera puede registrar una aplicación de GitHub, instalarla en un repositorio que controle y usar su token para abrir un problema en cualquier repositorio público. La acción busca el nombre de un bot y le permite ver el contenido. El modo agente carecía de la verificación adicional de actor humano que realizaba el modo etiqueta, lo que lo dejaba completamente abierto.

Una vez pasada la puerta, el atacante utiliza una inyección indirecta de mensajes, colocando instrucciones dentro del contenido que se leen como datos de la nube pero se ejecutan como comandos. RyotaK creó un cuerpo de problema disfrazado de un mensaje de recuperación de error. Al ejecutar el comando enterrado dentro de Claude "recuperación", lea /proc/self/environ A pesar de que el código de la nube tiene protecciones integradas contra esa operación exacta y publica el valor del problema.

Una segunda forma, no se requiere bot

RyotaK también identificó una ruta suave que evitó por completo el truco del bot. El propio ejemplo de Anthropic viene con configuraciones de flujo de trabajo de clasificación de problemas allowed_non_write_users: “*”lo que permite a cualquiera desencadenar una acción. La documentación de Anthropic ya marcó esto como vulnerable, pero muchos repositorios copiaron el ejemplo y heredaron la configuración.

Peor aún, Claude estaba publicando resúmenes de tareas en el panel de resumen visible públicamente de la ejecución del flujo de trabajo, creando un canal de exfiltración listo para usar. Una tercera variante de condición de carrera dirigida: editar los problemas de un usuario confiable después de que se activa el flujo de trabajo, pero antes de que la nube lo lea y la carga útil maliciosa ingrese como entrada confiable.

No teórico

Un clasificador de problemas de IA combinado con el mismo patrón, permisos amplios e inyección rápida ya ha causado un daño real. En febrero, un encabezado de problema inyectado rápidamente contra el flujo de trabajo de clasificación de acciones de código obstruido de Cline permitió a los atacantes robar un token de lanzamiento de NPM y realizar una inserción no autorizada. [email protected]. La versión maliciosa instaló por la fuerza un agente de inteligencia artificial separado llamado OpenClaw en aproximadamente 4.000 sistemas de desarrolladores durante un período de ocho horas antes de eliminarlo.

Un robot autónomo llamado HackerBot-Claw pasó a finales de febrero buscando configuraciones erróneas de GitHub Actions en los proyectos de Microsoft, Datadog y CNCF. Cuando intentó inyectar rápidamente a un revisor de Claude un archivo de configuración envenenado, Claude lo detectó y lo rechazó. Esto es a la vez tranquilizador y preocupante: las defensas del modelo son lo suficientemente inconsistentes como para que la misma clase de ataques a veces tenga éxito y otras veces fracase.

Cincuenta bypasses y contando

RyotaK dice que ahora ha informado sobre 50 formas diferentes de eludir el sistema de permisos de código en la nube y ejecutar comandos. Como parte de una ola más grande de ataques a la cadena de suministro dirigidos a herramientas de desarrollo impulsadas por IA, la extensión maliciosa VS Code está diseñada para recopilar credenciales de asistentes de codificación de IA de paquetes NPM maliciosos que violan los propios repositorios de GitHub.

La solución es sencilla: actualice a claude-code-action v1.0.94 o posterior, audite cualquier flujo de trabajo que permita a usuarios o bots no autorizados activar Claude, elimine secretos innecesarios del entorno y elimine herramientas y permisos que podrían usarse para la eliminación.

El problema más profundo es estructural. La inyección inmediata sigue sin resolverse. Un agente de IA con herramientas reales y tokens reales sólo puede impulsar sus permisos lo más que pueda, y los permisos que la mayoría de las organizaciones permiten de forma predeterminada son mucho más amplios que la superficie de ataque contra la que están preparadas para defenderse.