Claude Code GitHub Action: Prompt-Injection legt CI/CD-Secrets offen

Wie der Angriff funktionierte

Ein Angriff konnte in wenigen, unauffälligen Schritten ablaufen:

1. Platzierung des Köders: Ein Angreifer erstellt ein scheinbar harmloses Issue oder einen Pull Request in einem öffentlichen Repository, das die Claude Code GitHub Action verwendet .
2. Versteckte Anweisung: In den Textkörper des Issues oder in einen HTML-Kommentar werden Instruktionen für den KI-Agenten eingebettet. Diese sind für einen menschlichen Reviewer, der die Seite betrachtet, unsichtbar .
3. Ausführung durch den Agenten: Wird der Workflow ausgelöst, verarbeitet das KI-Modell den Inhalt als Teil seines Kontexts und befolgt die eingebetteten Anweisungen, die sensible Datei /proc/self/environ zu lesen .
4. Exfiltration der Daten: Das Modell kann anschließend angewiesen werden, die Daten heimlich weiterzuleiten, beispielsweise indem es sie in einen neuen Kommentar schreibt. Die Forscher stellten sogar eine raffinierte Variante fest: Der Befehl entfernte die ersten sieben Zeichen (sk-ant-) des ANTHROPIC_API_KEY, um einer Entdeckung durch automatisierte Secret-Scanner zu entgehen .

Diese Angriffsfläche – bei der natürlichsprachliche Anweisungen, die in Daten versteckt sind, zu ausführbaren Befehlen werden – ist der Kern von Prompt Injection, einem Bedrohungsvektor, der die Sicherheitslandschaft für KI-Agenten derzeit rasant neu definiert.

Ein proaktiver Patch: Die Zeitleiste der Offenlegung

Ein entscheidendes Detail ist, dass es sich um eine koordinierte Offenlegung handelte, bei der der Fix zuerst veröffentlicht wurde:

• 5. Mai 2026: Anthropic veröffentlicht Claude Code 2.1.128, eine Version, die die Schwachstelle entschärft, indem sie das Sandboxing des Read-Tools an die Umgebungsbereinigung anderer Ausführungspfade angleicht .
• 5. Juni 2026: Microsoft veröffentlicht seine detaillierte Analyse und nutzt den Fall, um dringende Sicherheitsempfehlungen für die gesamte Branche auszusprechen .

Mehr als nur ein Bug: Sieben neue Fehlermodi für agentische KI

Die Enthüllung zur Claude Code kam nicht im luftleeren Raum. Nur einen Tag zuvor, am 4. Juni 2026, hatte Microsofts AI Red Team die Version 2.0 seiner Taxonomie der Fehlermodi in agentischen KI-Systemen veröffentlicht . Dieses umfassende Update, basierend auf zwölf Monaten realer Red-Team-Übungen gegen produktive Agenten, fügt sieben völlig neue Fehlerkategorien hinzu, die weit über eine einzelne Code-Schwachstelle hinausgehen .

Die sieben neuen Fehlermodi spiegeln eine bedeutende Eskalation im Denken der Sicherheitsforscher wider:

1. Agentic Supply Chain Compromise (Kompromittierung der KI-Lieferkette): Anders als klassische Angriffe, die bösartigen Code einschleusen, werden hier kompromittierte Plugins, MCP-Server oder Prompt-Vorlagen genutzt, um natürliche Anweisungen einzuschleusen und das Verhalten eines Agenten zu verändern, ohne Code-Scanner auszulösen .
2. Goal Hijacking (Zielentführung): Ein Angreifer erstellt Anweisungen, die vorgeben, eine legitime Aufgabe zu unterstützen, das eigentliche Endziel des Agenten aber unbemerkt umlenken. Aus Softwaresicht bleibt der Agent unkompromittiert, wurde aber für die Ziele des Angreifers eingespannt .
3. Inter-Agent Trust Escalation (Vertrauensausweitung zwischen Agenten): In Systemen mit mehreren Agenten kann ein kompromittierter Agent gegenüber einem zentralen Orchestrator eine höhere Vertrauensstufe oder erweiterte Berechtigungen vortäuschen, wenn diese nicht unabhängig verifiziert werden. Dies ist die natürlichsprachliche Version des klassischen „Confused Deputy“-Problems .
4. Computer Use Agent (CUA) Visual Attack (Visueller Angriff auf Desktop-Agenten): Agenten, die grafische Oberflächen bedienen, können durch visuelle Informationen manipuliert werden, die für Menschen nicht offensichtlich sind. Dazu gehören versteckter Text, außerhalb des Bildschirms platzierte UI-Elemente oder Bilder mit eingebetteten Prompt-Injection-Befehlen .
5. Session Context Contamination (Sitzungskontext-Kontamination): Ein subtiler Angriff, bei dem ein Angreifer früh in einer langen, mehrstufigen Agentensitzung voreingenommene oder bösartige Informationen einbringt. Diese Daten lösen in keinem Einzelschritt eine Sicherheitskontrolle aus, verfälschen aber die Entscheidungsfindung des Agenten in einer späteren, scheinbar unzusammenhängenden Aktion .
6. MCP / Plugin Abuse (Missbrauch von MCP und Plugins): Ein aktualisierter Fokus auf Angriffsflächen, die spezifisch für das Model Context Protocol (MCP) und Plugin-Architekturen sind – beides wird zunehmend zum Standard, um die Fähigkeiten von KI-Agenten zu erweitern .
7. Capability / Architecture Disclosure (Offenlegung von Fähigkeiten und Architektur): Der Agent selbst kann dazu gebracht werden, sensible interne Details preiszugeben – etwa Werkzeugschemata, Speicherschnittstellen oder die Logik, die eine menschliche Freigabe auslöst. Das liefert einem Angreifer die Blaupause für künftige, präzisere Attacken .

Mit diesem Update wuchs die Taxonomie von ursprünglich 27 auf nun 34 Fehlermodi an, was die wachsende Komplexität und reale Verbreitung agentischer Systeme unterstreicht .

Wie lassen sich CI/CD-Pipelines in einer agentischen Welt absichern?

Als Reaktion auf den Claude-Code-Fall und das allgemeine Update der Taxonomie hat Microsoft eine Reihe von Sicherheitsrichtlinien für Teams formuliert, die KI-Agenten in ihre Build-Pipelines integrieren. Die Kernbotschaft: Teil-Isolation ist eine trügerische Sicherheit.

• Behandeln Sie alle nicht vertrauenswürdigen Inhalte als Injektionsvektor: Lassen Sie niemals einen KI-Agenten-Workflow automatisch bei Issues, PRs oder Kommentaren von externen Mitwirkenden ablaufen. Diese Inhalte müssen als potenziell gefährliche Eingabe betrachtet werden .
• Isolieren Sie Werkzeuge konsistent: Die Lücke zwischen dem isolierten Bash-Tool und dem ungeschützten Read-Tool hat gezeigt, dass die Umgebungsbereinigung einheitlich angewendet werden muss. Ein einziges nicht-isoliertes Werkzeug kann einen gesamten Workflow gefährden .
• Gewähren Sie minimale Rechte (Least Privilege): Die API-Schlüssel und Zugriffstoken des Agenten sollten den engstmöglichen Berechtigungsumfang haben, um den Schaden im Falle einer Offenlegung zu begrenzen. Verwenden Sie wenn möglich OIDC für kurzlebige, zweckgebundene Berechtigungsnachweise .
• Prüfen Sie den „Human-in-the-Loop“-Prozess: Sicherheitskontrollen, die auf menschlicher Prüfung basieren, können versagen, wenn die Angriffsnutzlast in rohem Markdown oder HTML-Kommentaren versteckt ist, die der Prüfer nie zu Gesicht bekommt. Der menschliche Genehmigungsschritt ist nur so stark wie das, was zur Genehmigung sichtbar gemacht wird .
• Inventarisieren Sie die Lieferkette des Agenten: Teams sollten eine Software-Stückliste (SBOM) für jeden eingesetzten Agenten erstellen, analog zur Transparenz in der Lieferkette, die heute für traditionelle Software Standard ist .

Durch all diese Richtlinien zieht sich ein zentrales Architekturprinzip, das die Sicherheitscommunity als „Rule of Two“ (Regel der Zwei) bezeichnet. Dieses Prinzip, das auf Metas Framework für praktische Agentensicherheit vom Oktober 2025 zurückgeht, besagt, dass ein Agent nicht mehr als zwei der folgenden drei Bedingungen erfüllen sollte: (A) Verarbeitung nicht vertrauenswürdiger Eingaben, (B) Zugriff auf sensible Daten und (C) die Fähigkeit, Aktionen auszuführen, die externe Zustände verändern . Die Claude-Code-Schwachstelle war ein klassischer Verstoß gegen dieses Prinzip, da der Agent gleichzeitig Eingaben von einem nicht vertrauenswürdigen PR verarbeitete und im Besitz mächtiger Zugangsdaten war.