Microsoft onthult dat Claude Code GitHub Action CI/CD-wachtwoorden lekt via promptinjectie en voegt 7 nieuwe faalwijzen voor AI-agents toe

Een aanval kon zich in een paar discrete stappen voltrekken:

1. Een aanvaller opent een ogenschijnlijk onschuldig issue of pull request in een openbare repository die de Claude Code GitHub Action gebruikt.
2. De hoofdtekst van het issue of een HTML-commentaar bevat instructies voor de AI-agent, onzichtbaar voor een menselijke reviewer die de pagina bekijkt.
3. Wanneer de workflow wordt getriggerd, verwerkt het AI-model de inhoud als onderdeel van zijn context en volgt het de ingesloten instructies op om /proc/self/environ te lezen .
4. Het model kan vervolgens verder worden geïnstrueerd om de data te exfiltreren, bijvoorbeeld door deze terug te plaatsen in een commentaar. De onderzoekers merkten een verfijning op waarbij de aanval de eerste zeven tekens (sk-ant-) van de ANTHROPIC_API_KEY verwijderde om detectie door geautomatiseerde geheimenscanners te vermijden .

Dit aanvalsoppervlak — waarbij in natuurlijke taal geschreven instructies die in data worden geïnjecteerd, uitvoerbare commando's worden — is de kern van promptinjectie, een dreigingsvector die het beveiligingslandschap voor AI-agents in rap tempo definieert.

Een preventieve patch: de tijdlijn van de onthulling

Een cruciaal detail is dat dit een gecoördineerde onthulling was waarbij de oplossing eerst kwam.

• 5 mei 2026: Anthropic bracht Claude Code 2.1.128 uit, waarmee de kwetsbaarheid werd verholpen door de sandboxing van de Read-tool op één lijn te brengen met de omgevingsscrubbing die al op andere uitvoeringspaden werd toegepast .
• 5 juni 2026: Microsoft publiceerde zijn gedetailleerde dreigingsanalyse en gebruikte de casestudy om de hele sector dringende beveiligingsaanbevelingen te doen .

Voorbij één bug: zeven nieuwe manieren waarop agentische AI-systemen falen

De onthulling over Claude Code vond plaats tegen de achtergrond van een meer omvattende beveiligingsbeoordeling. Eén dag eerder, op 4 juni 2026, publiceerde Microsofts AI Red Team versie 2.0 van zijn Taxonomie van Faalwijzen in Agentische AI-systemen . Deze grote update, gebaseerd op twaalf maanden aan praktijkervaring met red-team-operaties tegen actieve agents, voegde zeven volledig nieuwe faalcategorieën toe die veel verder reiken dan een enkel code-uitvoeringslek.

De nieuwe faalwijzen vertegenwoordigen een significante escalatie in hoe beveiligingsonderzoekers denken over autonome AI-systemen:

1. Agentic Supply Chain Compromise: In tegenstelling tot traditionele supply chain-aanvallen die kwaadaardige code leveren, gaat het hier om gecompromitteerde plugins, MCP-servers of prompttemplates die instructies in natuurlijke taal injecteren. Dit verandert het gedrag van een agent zonder dat codescanners alarm slaan .
2. Goal Hijacking (Doelkaap): Een tegenstander maakt instructies die lijken te helpen bij het voltooien van een legitieme taak, maar die stilletjes het uiteindelijke doel van de agent ombuigen. De agent blijft vanuit softwareperspectief onaangetast, maar is ingezet voor het doel van een aanvaller .
3. Inter-Agent Trust Escalation: In systemen met meerdere agents kan een gecompromitteerde agent ten onrechte een identiteit met meer vertrouwen of hogere permissies claimen tegenover een centrale orkestrator die dit niet onafhankelijk verifieert. Dit is een versie in natuurlijke taal van het klassieke "confused deputy"-probleem .
4. Computer Use Agent (CUA) Visual Attack: Agents die grafische interfaces bedienen, kunnen worden gemanipuleerd door visuele informatie die voor een mens niet duidelijk is, zoals verborgen tekst, UI-elementen buiten het scherm of afbeeldingen die een promptinjectie-lading bevatten .
5. Session Context Contamination: Een subtiele aanval waarbij een tegenstander vroeg in een lange, uit meerdere stappen bestaande agentsessie bevooroordeelde of kwaadaardige informatie introduceert. Deze data triggert misschien in geen enkele afzonderlijke stap een veiligheidscontrole, maar corrumpeert de redenering van de agent bij een latere, schijnbaar losstaande actie .
6. MCP / Plugin Abuse: Een hernieuwde focus op aanvalsoppervlakken die specifiek zijn voor het Model Context Protocol (MCP) en plugin-architecturen, die de standaardmanier aan het worden zijn om agentmogelijkheden uit te breiden .
7. Capability / Architecture Disclosure: De agent zelf kan worden aangezet tot het lekken van gevoelige interne ontwerpdetails — zoals toolschema's, geheugeninterfaces, of de logica die menselijke goedkeuring triggert — waardoor een aanvaller een blauwdruk krijgt voor toekomstige, nauwkeurigere aanvallen .

Deze uitgebreide taxonomie bracht het raamwerk van de oorspronkelijke 27 faalwijzen naar 34, wat de groeiende complexiteit en praktijkaanwezigheid van agentische systemen weerspiegelt .

CI/CD versterken in een agentische wereld

Als antwoord op de Claude Code-zaak en de bredere taxonomie-update schetste Microsoft een reeks beveiligingsaanbevelingen voor elk team dat AI-agents in hun build-pipelines integreert. De leidraad benadrukt dat gedeeltelijke isolatie een vals gevoel van veiligheid geeft.

• Behandel alle onbetrouwbare inhoud als een injectievector: Voer nooit automatisch een AI-agentworkflow uit op issues, PR's of commentaren van externe bijdragers. Deze inhoud moet worden behandeld als potentieel vijandige invoer .
• Isoleer tools consequent: De kloof tussen de afgeschermde Bash-tool en de niet-afgeschermde Read-tool toonde aan dat omgevingsscrubbing uniform moet worden toegepast. Een enkele niet-afgeschermde tool kan een hele workflow compromitteren .
• Pas het principe van minste privileges toe: De eigen API-sleutels en toegangstokens van de agent moeten een zo beperkt mogelijk bereik hebben om de schade te beperken als ze worden blootgesteld. Gebruik waar mogelijk OIDC voor tijdelijke, doelgerichte inloggegevens .
• Controleer de human-in-the-loop-ervaring: Beveiligingsmaatregelen die afhankelijk zijn van een menselijke beoordeling kunnen falen als de aanvalslading verborgen is in ruwe Markdown of HTML-commentaren die de reviewer nooit ziet. De menselijke goedkeuringsstap is slechts zo sterk als wat zichtbaar wordt gemaakt voor goedkeuring .
• Inventariseer de agent supply chain: Teams moeten een software bill of materials (SBOM) genereren voor elke ingezette agent, naar analogie van de supply chain-zichtbaarheid die nu standaard is voor traditionele software .

Als rode draad door deze richtlijnen loopt een fundamenteel architectonisch principe dat de beveiligingsgemeenschap de "Rule of Two" (Regel van Twee) noemt. Deze regel, afkomstig uit Meta's raamwerk van oktober 2025 voor praktische agentbeveiliging, stelt dat een agent aan niet meer dan twee van de volgende drie voorwaarden mag voldoen: het verwerken van onbetrouwbare invoer, toegang hebben tot gevoelige data en de mogelijkheid bezitten om acties uit te voeren die een externe toestand veranderen . De kwetsbaarheid in Claude Code was een klassieke schending van dit principe, aangezien de agent tegelijkertijd invoer van een onbetrouwbare PR verwerkte en over krachtige inloggegevens beschikte.