Den usynlige trusselen: Hvordan et GitHub-issue kunne tømt bedriftens hemmeligheter

1. En angriper oppretter et tilsynelatende ufarlig issue eller en pull-forespørsel i et offentlig repository som bruker Claude Code GitHub Action.
2. Brødteksten i issuet eller en HTML-kommentar inneholder instruksjoner for AI-agenten, usynlige for en menneskelig anmelder som skanner siden.
3. Når arbeidsflyten utløses, behandler AI-modellen innholdet som en del av sin kontekst og følger de innebygde instruksjonene om å lese /proc/self/environ .
4. Modellen kan deretter instrueres videre til å eksfiltrere dataene, for eksempel ved å poste dem tilbake i en kommentar. Forskerne noterte seg en raffinering der angrepet strippet de første syv tegnene (sk-ant-) fra ANTHROPIC_API_KEY for å unngå deteksjon av automatiserte hemmelighetsskannere .

Denne angrepsflaten – der instruksjoner i naturlig språk injisert i data blir til kjørbare kommandoer – er kjernen i prompt-injeksjon, en trusselvektor som raskt definerer sikkerhetslandskapet for AI-agenter.

En forebyggende fiks: Tidslinjen for offentliggjøring

En kritisk detalj er at dette var en koordinert offentliggjøring der reparasjonen kom først.

• 5. mai 2026: Anthropic lanserte Claude Code 2.1.128, som begrenset sårbarheten ved å justere Read-verktøyets sandkasse-isolering i tråd med miljørensingen som allerede var brukt på andre kjøringsstier .
• 5. juni 2026: Microsoft publiserte sin detaljerte trusselanalyse og brukte case-studien til å gi akutte sikkerhetsanbefalinger for hele bransjen .

Utover én feil: Syv nye måter agentiske AI-systemer svikter på

Claude Code-avsløringen kom på bakgrunn av en mer omfattende sikkerhetsvurdering. Dagen før, den 4. juni 2026, publiserte Microsofts AI Red Team versjon 2.0 av sin Taksonomi over feilmoduser i agentiske AI-systemer . Denne store oppdateringen, forankret i tolv måneder med reelle "red team"-angrep mot operative agenter, la til syv helt nye kategorier av svikt som strekker seg langt utover én enkelt kodekjøringsfeil.

De nye feilmodusene representerer en betydelig opptrapping i hvordan sikkerhetsforskere tenker om autonome AI-systemer:

1. Agentic Supply Chain Compromise (Kompromittering av agentens leverandørkjede): I motsetning til tradisjonelle angrep på programvareleverandørkjeden, involverer dette kompromitterte programtillegg, MCP-tjenere eller prompt-maler som injiserer instruksjoner i naturlig språk for å endre en agents oppførsel uten å trigge kodeskannere .
2. Goal Hijacking (Målkapring): En motstander lager instruksjoner som ser ut til å hjelpe en legitim oppgave, men som i stillhet omdirigerer agentens endelige mål. Agenten forblir ukompromittert fra et programvareperspektiv, men er våpengjort mot angriperens mål .
3. Inter-Agent Trust Escalation (Tillitseskalering mellom agenter): I multi-agentsystemer kan en kompromittert agent feilaktig hevde en identitet med høyere tillit eller oppblåste tillatelser til en sentral orkestrator som ikke verifiserer dem uavhengig. Dette fungerer som en versjon i naturlig språk av det klassiske "forvirret stedfortreder"-problemet .
4. Computer Use Agent (CUA) Visual Attack (Visuelt angrep på databruksagenter): Agenter som opererer grafiske grensesnitt kan manipuleres av visuell informasjon som ikke er åpenbar for et menneske, slik som skjult tekst, UI-elementer utenfor skjermen eller bilder som inneholder en prompt-injeksjonslast .
5. Session Context Contamination (Sesjonskontekstkontaminering): Et subtilt angrep der en motstander introduserer partisk eller ondsinnet informasjon tidlig i en lang agentøkt med flere steg. Disse dataene kan hende ikke trigger en sikkerhetskontroll i noe enkeltsteg, men korrumperer agentens resonnement i en påfølgende, tilsynelatende ubeslektet handling .
6. MCP / Plugin Abuse (MCP-/programtilleggsmisbruk): Et oppdatert fokus på angrepsflater spesifikke for Model Context Protocol (MCP) og programtilleggsarkitekturer, som er i ferd med å bli standardmetoden for å utvide agentkapabiliteter .
7. Capability / Architecture Disclosure (Kapabilitets-/arkitekturavsløring): Agenten selv kan fås til å lekke sensitive interne designdetaljer – som verktøyskjemaer, minnegrensesnitt eller logikken som trigger menneskelig godkjenning – noe som gir en angriper en blåkopi for fremtidige, mer presise angrep .

Denne utvidede taksonomien flyttet rammeverket fra de opprinnelige 27 til 34 feilmoduser, noe som gjenspeiler den økende kompleksiteten og det reelle fotavtrykket til agentiske systemer .

Hvordan sikre CI/CD i en agentisk verden

Som svar på Claude Code-saken og den bredere taksonomi-oppdateringen, skisserte Microsoft et sett med sikkerhetsanbefalinger for ethvert team som integrerer AI-agenter i sine byggepipelines. Veiledningen understreker at delvis isolasjon er en falsk trygghet.

• Behandle alt uklarert innhold som en injeksjonsvektor: Kjør aldri automatisk en AI-agent-arbeidsflyt på issues, PR-er eller kommentarer fra eksterne bidragsytere. Dette innholdet må behandles som potensielt fiendtlig input .
• Isoler verktøy konsekvent: Gapet mellom det sandkasse-isolerte Bash-verktøyet og det uisolerte Read-verktøyet demonstrerte at miljørensing må brukes enhetlig. Et enkelt uisolert verktøy kan kompromittere en hel arbeidsflyt .
• Bruk prinsippet om minst privilegium (Least Privilege): Agentens egne API-nøkler og tilgangstokener bør ha et så snevert omfang som mulig, for å begrense skaden hvis de blir eksponert. Bruk OIDC for kortlevde, formålsbegrensede legitimasjoner når det er mulig .
• Revidere menneske-i-løkken-opplevelsen: Sikkerhetskontroller som avhenger av en menneskelig vurdering kan feile hvis angrepslasten er skjult i rå Markdown eller HTML-kommentarer som anmelderen aldri ser. Det menneskelige godkjenningssteget er bare så sterkt som det som gjøres synlig for godkjenning .
• Kartlegge agentens leverandørkjede: Team bør generere en programvareleverandørliste (SBOM) for hver utplasserte agent, som gjenspeiler den leverandørkjede-innsynen som nå er standard for tradisjonell programvare .

Gjennom denne veiledningen ligger et kjernearkitektonisk prinsipp sikkerhetsmiljøet kaller "Rule of Two" (Toerregelen). Med opprinnelse fra Metas rammeverk fra oktober 2025 for praktisk agentsikkerhet, sier regelen at en agent ikke skal oppfylle mer enn to av følgende tre betingelser: å behandle uklarerte input, ha tilgang til sensitive data, og ha evnen til å utføre handlinger som endrer ekstern tilstand . Claude Code-sårbarheten var et klassisk brudd på dette prinsippet, da agenten samtidig håndterte input fra en uklarert PR og innehadde kraftige legitimasjoner .