Microsoft Dedah Kebocoran Rahsia CI/CD Claude Code dan 7 Mod Kegagalan AI Agentik Baharu

Serangan boleh berlaku dalam beberapa langkah senyap:

1. Penyerang membuka isu atau permintaan tarik yang kelihatan tidak berbahaya dalam repositori awam yang menggunakan GitHub Action Claude Code.
2. Badan isu atau komen HTML mengandungi arahan untuk ejen AI, tidak kelihatan kepada pengulas manusia yang mengimbas halaman.
3. Apabila aliran kerja dicetuskan, model AI memproses kandungan tersebut sebagai sebahagian daripada konteksnya dan mengikut arahan terbenam untuk membaca /proc/self/environ .
4. Model itu kemudiannya boleh diarahkan lagi untuk mengeksfiltrasi data, contohnya dengan menyiarkannya semula dalam komen. Para penyelidik mencatatkan satu penghalusan di mana serangan menanggalkan tujuh aksara pertama (sk-ant-) daripada ANTHROPIC_API_KEY untuk mengelak pengesanan oleh pengimbas rahsia automatik .

Permukaan serangan ini—di mana arahan bahasa tabii yang disuntik ke dalam data menjadi perintah yang boleh dilaksanakan—adalah teras kepada prompt injection, vektor ancaman yang pantas mentakrifkan landskap keselamatan untuk ejen AI.

Tampalan Prabayang: Garis Masa Pendedahan

Butiran kritikal ialah ini adalah pendedahan terkoordinasi di mana pembaikan didahulukan.

• 5 Mei 2026: Anthropic mengeluarkan Claude Code 2.1.128, yang mengurangkan kerentanan dengan menyelaraskan kotak pasir alatan Read dengan pembersihan persekitaran yang telah digunakan pada laluan pelaksanaan lain .
• 5 Jun 2026: Microsoft menerbitkan analisis ancaman terperincinya, menggunakan kajian kes ini untuk menyediakan syor keselamatan segera untuk seluruh industri .

Melangkaui Satu Pepijat: Tujuh Cara Baharu Sistem AI Agentik Gagal

Pendedahan Claude Code berlaku berlatarbelakangkan penilaian keselamatan yang lebih menyeluruh. Sehari sebelumnya, pada 4 Jun 2026, Pasukan Red AI Microsoft menerbitkan versi 2.0 Taksonomi Mod Kegagalan dalam Sistem AI Agentik . Kemas kini utama ini, berasaskan dua belas bulan penglibatan red-team dunia sebenar terhadap ejen yang digunakan, menambah tujuh kategori kegagalan baharu yang melangkaui satu kelemahan pelaksanaan kod tunggal.

Mod kegagalan baharu ini mewakili peningkatan ketara dalam cara penyelidik keselamatan berfikir tentang sistem AI autonomi:

1. Kompromi Rantaian Bekalan Agentik: Tidak seperti serangan rantaian bekalan perisian tradisional yang menghantar kod berniat jahat, ini melibatkan pemalam, pelayan MCP, atau templat prompt yang terjejas yang menyuntik arahan bahasa tabii untuk mengubah tingkah laku ejen tanpa mencetuskan pengimbas kod .
2. Rampasan Matlamat (Goal Hijacking): Musuh menghasilkan arahan yang kelihatan membantu menyelesaikan tugas yang sah tetapi secara senyap mengalihkan objektif muktamad ejen. Ejen kekal tidak terjejas dari perspektif perisian tetapi telah dijadikan senjata ke arah matlamat penyerang .
3. Peningkatan Kepercayaan Antara Ejen: Dalam sistem berbilang ejen, ejen yang terjejas boleh secara palsu menuntut identiti kepercayaan yang lebih tinggi atau keizinan yang dinaikkan kepada orkestrator pusat yang tidak mengesahkannya secara bebas. Ini bertindak sebagai versi bahasa tabii masalah klasik "timbalan keliru (confused deputy)" .
4. Serangan Visual Ejen Pengguna Komputer (CUA): Ejen yang mengendalikan antara muka grafik boleh dimanipulasi oleh maklumat visual yang tidak jelas kepada manusia, seperti teks tersembunyi, elemen UI di luar skrin, atau imej yang membenamkan muatan prompt injection .
5. Pencemaran Konteks Sesi: Serangan halus di mana musuh memperkenalkan maklumat berat sebelah atau berniat jahat pada awal sesi ejen yang panjang dan berbilang langkah. Data ini mungkin tidak mencetuskan kawalan keselamatan pada mana-mana langkah tunggal tetapi merosakkan penaakulan ejen dalam tindakan seterusnya yang kelihatan tidak berkaitan .
6. Penyalahgunaan MCP / Pemalam: Tumpuan yang dikemas kini pada permukaan serangan khusus untuk Protokol Konteks Model (MCP) dan seni bina pemalam, yang menjadi cara standard untuk melanjutkan keupayaan ejen .
7. Pendedahan Keupayaan / Seni Bina: Ejen itu sendiri boleh dibuat untuk membocorkan butiran reka bentuk dalaman yang sensitif—seperti skema alatan, antara muka memori, atau logik yang mencetuskan kelulusan manusia—memberi penyerang pelan tindakan untuk serangan masa depan yang lebih tepat .

Taksonomi yang diperluaskan ini menggerakkan rangka kerja daripada 27 mod kegagalan asalnya kepada 34, mencerminkan kerumitan yang semakin meningkat dan jejak dunia sebenar sistem agentik .

Memperkukuh CI/CD dalam Dunia Agentik

Sebagai tindak balas kepada kes Claude Code dan kemas kini taksonomi yang lebih luas, Microsoft menggariskan satu set syor keselamatan untuk mana-mana pasukan yang mengintegrasikan ejen AI ke dalam saluran paip binaan mereka. Panduan ini menekankan bahawa pengasingan separa adalah satu keselesaan palsu.

• Anggap Semua Kandungan Tidak Dipercayai sebagai Vektor Suntikan: Jangan sekali-kali menjalankan aliran kerja ejen AI secara automatik pada isu, PR, atau komen daripada penyumbang luaran. Kandungan ini mesti dianggap sebagai input yang berpotensi bermusuhan .
• Asingkan Alatan Secara Konsisten: Jurang antara alatan Bash berkotak pasir dan alatan Read tanpa kotak pasir menunjukkan bahawa pembersihan persekitaran mesti digunakan secara seragam. Satu alatan tanpa kotak pasir boleh menjejaskan keseluruhan aliran kerja .
• Guna Prinsip Hak Istimewa Terhad (Least Privilege): Kunci API dan token akses ejen itu sendiri sepatutnya mempunyai skop paling sempit yang mungkin, mengehadkan kerosakan jika ia terdedah. Gunakan OIDC untuk kelayakan jangka pendek dan berskop khusus apabila boleh .
• Audit Pengalaman Manusia-Dalam-Gelung (Human-in-the-Loop): Kawalan keselamatan yang bergantung pada semakan manusia boleh gagal jika muatan serangan disembunyikan dalam Markdown mentah atau komen HTML yang tidak pernah dilihat oleh pengulas. Langkah kelulusan manusia hanya sekuat apa yang dibuat kelihatan untuk kelulusan .
• Inventori Rantaian Bekalan Ejen: Pasukan harus menjana bil bahan perisian (SBOM) untuk setiap ejen yang digunakan, mencerminkan ketelusan rantaian bekalan yang kini standard untuk perisian tradisional .

Terjalin di seluruh panduan ini adalah prinsip seni bina teras yang dipanggil komuniti keselamatan sebagai "Peraturan Dua" (Rule of Two). Berasal daripada rangka kerja Meta Oktober 2025 untuk keselamatan ejen praktikal, peraturan tersebut menyatakan bahawa sesuatu ejen harus memenuhi tidak lebih daripada dua daripada tiga syarat berikut: memproses input tidak boleh dipercayai, mempunyai akses kepada data sensitif, dan memiliki keupayaan untuk melaksanakan tindakan yang mengubah keadaan luaran . Kerentanan Claude Code adalah pelanggaran klasik prinsip ini, kerana ejen itu secara serentak mengendalikan input daripada PR yang tidak dipercayai dan memegang kelayakan yang berkuasa.