Microsoft odhalil únik tajemství CI/CD v Claude Code a přidal 7 nových chybových režimů pro AI agenty

Tento typ útoku, kde se instrukce v přirozeném jazyce vložené do dat stávají spustitelnými příkazy, je jádrem injekce promptu (prompt injection), což je vektor hrozby, který rapidně definuje bezpečnostní prostředí pro AI agenty.

Preventivní záplata: Časová osa zveřejnění

Klíčovým detailem je, že se jednalo o koordinované odhalení, kde oprava přišla jako první.

• 5. května 2026: Anthropic vydal Claude Code 2.1.128, který zranitelnost zmírnil tím, že sandboxing pro nástroj Read sjednotil s čištěním prostředí, které již bylo aplikováno na jiné cesty spouštění .
• 5. června 2026: Microsoft zveřejnil svou podrobnou bezpečnostní analýzu a využil tuto případovou studii k poskytnutí urgentních bezpečnostních doporučení pro celé odvětví .

Víc než jedna chyba: Sedm nových způsobů, jak agentní AI systémy selhávají

Odhalení chyby v Claude Code přišlo na pozadí rozsáhlejšího bezpečnostního hodnocení. O den dříve, 4. června 2026, zveřejnil tým Microsoft AI Red Team verzi 2.0 své Taxonomie chybových režimů v agentních AI systémech . Tato zásadní aktualizace, založená na dvanácti měsících reálných red-team testů proti nasazeným agentům, přidala sedm zcela nových kategorií selhání, které sahají daleko za hranice jedné chyby ve spouštění kódu.

Nové chybové režimy představují významnou eskalaci v tom, jak bezpečnostní výzkumníci uvažují o autonomních AI systémech:

1. Kompromitace agentního dodavatelského řetězce: Na rozdíl od tradičních útoků na softwarový dodavatelský řetězec, které dodávají škodlivý kód, zde jde o kompromitované pluginy, MCP servery nebo šablony promptů, které vkládají instrukce v přirozeném jazyce, aby změnily chování agenta, aniž by spustily detekci škodlivého kódu .
2. Únos cíle (Goal Hijacking): Protivník vytvoří instrukce, které zdánlivě pomáhají dokončit legitimní úkol, ale potichu přesměrují konečný cíl agenta. Agent zůstává ze softwarového hlediska nekompromitován, ale byl zneužit k dosažení útočníkova cíle .
3. Eskalace důvěry mezi agenty: V multi-agentních systémech může kompromitovaný agent falešně tvrdit, že má vyšší identitu nebo nafouknutá oprávnění, vůči centrálnímu orchestrátoru, který je nezávisle neověřuje. Jde o verzi klasického problému "zmateného posla" (confused deputy) v přirozeném jazyce .
4. Vizuální útok na agenta ovládajícího GUI (CUA): Agenti, kteří operují v grafických rozhraních, mohou být zmanipulováni vizuální informací, která není pro člověka zřejmá, jako je skrytý text, prvky UI mimo obrazovku nebo obrázky obsahující injekci promptu .
5. Kontaminace kontextu relace: Jemný útok, při kterém protivník zavede zkreslené nebo škodlivé informace na začátku dlouhé, vícekrokové relace agenta. Tato data nemusí spustit bezpečnostní kontrolu v žádném jednotlivém kroku, ale zkazí uvažování agenta v následné, zdánlivě nesouvisející akci .
6. Zneužití MCP / Pluginů: Aktualizované zaměření na útočné plochy specifické pro Model Context Protocol (MCP) a architektury pluginů, které se stávají standardním způsobem rozšiřování schopností agentů .
7. Odhalení schopností / architektury: Samotný agent může být přinucen vyzradit citlivé interní detaily návrhu – jako jsou schémata nástrojů, paměťová rozhraní nebo logika spouštějící lidské schválení – což útočníkovi poskytne plán pro budoucí, přesnější útoky .

Tato rozšířená taxonomie posunula framework z původních 27 chybových režimů na 34, což odráží rostoucí složitost a reálný dopad agentních systémů .

Posílení CI/CD v agentním světě

V reakci na případ Claude Code a širší aktualizaci taxonomie nastínil Microsoft sadu bezpečnostních doporučení pro každý tým, který integruje AI agenty do svých buildovacích pipeline. Hlavní ponaučení zdůrazňuje, že částečná izolace je falešným pocitem bezpečí.

• Považujte veškerý nedůvěryhodný obsah za vektor injekce: Nikdy nespouštějte workflow AI agenta automaticky na issues, PR nebo komentáře od externích přispěvatelů. Tento obsah musí být považován za potenciálně nepřátelský vstup .
• Izolujte nástroje konzistentně: Rozdíl mezi sandboxovaným nástrojem Bash a nesandboxovaným nástrojem Read ukázal, že čištění prostředí musí být aplikováno jednotně. Jediný neizolovaný nástroj může kompromitovat celý workflow .
• Aplikujte princip nejnižších oprávnění: Vlastní API klíče a přístupové tokeny agenta by měly mít co nejužší rozsah, aby se omezily škody v případě jejich odhalení. Kdykoli je to možné, používejte OIDC pro krátkodobé, účelově omezené přihlašovací údaje .
• Auditujte zkušenost "člověka ve smyčce" (Human-in-the-Loop): Bezpečnostní kontroly, které závisí na lidské revizi, mohou selhat, pokud je útočný kód skrytý v syrovém Markdownu nebo HTML komentářích, které recenzent nikdy nevidí. Krok lidského schválení je jen tak silný, jak silné je to, co je ke schválení zobrazeno .
• Inventarizujte dodavatelský řetězec agenta: Týmy by měly generovat softwarový kusovník (SBOM) pro každého nasazeného agenta, čímž se zrcadlí přehled o dodavatelském řetězci, který je nyní standardem pro tradiční software .

Celou touto sadou doporučení se prolíná základní architektonický princip, který bezpečnostní komunita nazývá "Pravidlo dvou" (Rule of Two) . Toto pravidlo, pocházející z frameworku Meta z října 2025 pro praktickou bezpečnost agentů, říká, že agent by měl splňovat maximálně dvě z následujících tří podmínek: zpracovává nedůvěryhodné vstupy, má přístup k citlivým datům a má schopnost vykonávat akce, které mění vnější stav . Chyba v Claude Code byla klasickým porušením tohoto principu, protože agent současně zpracovával vstup z nedůvěryhodného PR a držel silná oprávnění.