Da en enkelt GitHub-issue kunne stjæle dine CI/CD-nøgler – og hvad vi lærte af det

1. En angriber opretter et tilsyneladende uskyldigt issue eller pull request i et offentligt repository, der bruger Claude Code GitHub Action.
2. Brødteksten i issuet eller en HTML-kommentar indeholder instruktioner til AI-agenten, som er usynlige for en menneskelig anmelder.
3. Når workflowet trigges, behandler AI-modellen indholdet, følger de indlejrede instruktioner og læser /proc/self/environ .
4. Modellen kan derefter instrueres til at eksfiltrere dataene, for eksempel ved at poste dem i en kommentar. Forskerne bemærkede en forfining, hvor angrebet fjernede de første syv tegn (sk-ant-) fra ANTHROPIC_API_KEY for at undgå at blive opdaget af automatiserede hemmeligheds-scannere .

Denne angrebsflade – hvor naturligt-sprogs instruktioner, der sprøjtes ind i data, bliver til eksekverbare kommandoer – er kernen i prompt injection, en trusselsvektor, der hurtigt er ved at definere sikkerhedslandskabet for AI-agenter.

En forebyggende patch: Tidslinjen for offentliggørelsen

En afgørende detalje er, at dette var en koordineret offentliggørelse, hvor rettelsen kom først.

• 5. maj 2026: Anthropic frigav Claude Code 2.1.128, som mindskede sårbarheden ved at tilpasse sandboxingen af Read-værktøjet til den miljøvask, man allerede brugte på andre eksekveringsstier .
• 5. juni 2026: Microsoft offentliggjorde sin detaljerede trusselsanalyse og brugte casestudiet til at give presserende sikkerhedsanbefalinger til hele industrien .

Ud over en enkelt fejl: Syv nye måder, agentsystemer fejler på

Offentliggørelsen af Claude Code sagen skete på baggrund af en mere omfattende sikkerhedsvurdering. Dagen før, den 4. juni 2026, offentliggjorde Microsofts AI Red Team version 2.0 af deres Taxonomy of Failure Modes in Agentic AI Systems . Denne store opdatering, baseret på tolv måneders praktiske red-team angreb mod udrullede agenter, tilføjede syv helt nye fejlkategorier, der rækker langt ud over en enkelt fejl i kodeudførsel.

De nye fejltyper repræsenterer en betydelig optrapning i, hvordan sikkerhedsforskere tænker om autonome AI-systemer:

1. Agentic Supply Chain Compromise: I modsætning til traditionelle forsyningskædeangreb, der leverer ondsindet kode, involverer dette kompromitterede plugins, MCP-servere eller prompt-skabeloner, der indsprøjter naturligt-sprogs instruktioner for at ændre en agents opførsel uden at udløse kode-scannere .
2. Goal Hijacking: En modstander udformer instruktioner, der ser ud til at hjælpe med en legitim opgave, men som i stilhed omdirigerer agentens ultimative mål. Agenten er ukompromitteret fra et softwareperspektiv, men er blevet beordret til at tjene angriberens formål .
3. Inter-Agent Trust Escalation: I multi-agent systemer kan en kompromitteret agent fejlagtigt hævde en identitet med højere tillid eller oppustede rettigheder over for en central orkestrator, der ikke verificerer det. Dette fungerer som en version i almindeligt sprog af det klassiske "confused deputy"-problem .
4. Computer Use Agent (CUA) Visual Attack: Agenter, der opererer gennem grafiske brugergrænseflader, kan manipuleres af visuel information, som ikke er indlysende for et menneske, såsom skjult tekst, UI-elementer uden for skærmen eller billeder, der indeholder en prompt injection-nyttelast .
5. Session Context Contamination: Et subtilt angreb, hvor en modstander introducerer forudindtaget eller ondsindet information tidligt i en lang, flertrins agentsession. Disse data udløser måske ikke en sikkerhedskontrol på noget enkelt trin, men korrumperer agentens ræsonnement i en efterfølgende, tilsyneladende urelateret handling .
6. MCP / Plugin Abuse: Et opdateret fokus på angrebsflader specifikke for Model Context Protocol (MCP) og plugin-arkitekturer, som er ved at blive standarden for at udvide agenters kapaciteter .
7. Capability / Architecture Disclosure: Selve agenten kan bringes til at afsløre følsomme interne designdetaljer – såsom værktøjsskemaer, hukommelsesinterfaces eller logikken, der udløser menneskelig godkendelse – hvilket giver en angriber en plan for fremtidige, mere præcise angreb .

Denne udvidede taksonomi flyttede rammen fra de oprindelige 27 fejltyper til 34, hvilket afspejler den voksende kompleksitet og det virkelige fodaftryk af agentiske systemer .

Hærdning af CI/CD i en agentisk verden

Som svar på Claude Code-sagen og den bredere taksonomiopdatering skitserede Microsoft et sæt sikkerhedsanbefalinger til ethvert team, der integrerer AI-agenter i deres build-pipelines. Vejledningen understreger, at delvis isolation er en falsk tryghed.

• Behandl alt ikke-verificeret indhold som en injektionsvektor: Kør aldrig automatisk en AI-agent-workflow på issues, PR'er eller kommentarer fra eksterne bidragydere. Dette indhold skal behandles som potentielt fjendtligt input .
• Isolér værktøjer konsekvent: Forskellen mellem det sandboxede Bash-værktøj og det usandboxede Read-værktøj demonstrerede, at miljøvask skal anvendes ensartet. Et enkelt usandboxed værktøj kan kompromittere et helt workflow .
• Anvend mindste privilegium: Agentens egne API-nøgler og adgangstokens bør have det snævrest mulige omfang, hvilket begrænser skaden, hvis de eksponeres. Brug OIDC til kortlivede, formålsbestemte credentials, når det er muligt .
• Auditér human-in-the-loop-oplevelsen: Sikkerhedskontroller, der afhænger af en menneskelig gennemgang, kan fejle, hvis angrebsnyttelasten er skjult i rå Markdown eller HTML-kommentarer, som anmelderen aldrig ser. Det menneskelige godkendelsestrin er kun så stærkt som det, der gøres synligt til godkendelse .
• Lav en fortegnelse over agentens forsyningskæde: Teams bør generere en software-bill-of-materials (SBOM) for hver udrullet agent, hvilket afspejler den synlighed i forsyningskæden, som nu er standard for traditionel software .

Indlejret i hele denne vejledning er et centralt arkitektonisk princip, som sikkerhedsfællesskabet kalder "Rule of Two". Med oprindelse i Metas ramme fra oktober 2025 for praktisk agent-sikkerhed, siger reglen, at en agent kun må opfylde højst to af følgende tre betingelser: at behandle utroværdigt input, have adgang til følsomme data og have evnen til at udføre handlinger, der ændrer ekstern tilstand . Claude Code-sårbarheden var et klassisk brud på dette princip, da agenten samtidig håndterede input fra et utroværdigt PR og sad inde med følsomme credentials.