Microsoft ujawnia wyciek sekretów CI/CD w Claude Code przez prompt injection i dodaje 7 nowych trybów awarii agentowej AI

Atak mógł przebiegać w kilku dyskretnych krokach:

1. Atakujący otwiera pozornie nieszkodliwe zgłoszenie (issue) lub pull request w publicznym repozytorium korzystającym z akcji GitHub Claude Code.
2. Treść zgłoszenia lub komentarz HTML zawiera instrukcje dla agenta AI, niewidoczne dla człowieka przeglądającego stronę.
3. Po uruchomieniu przepływu pracy model AI przetwarza treść jako część swojego kontekstu i wykonuje osadzone instrukcje, aby odczytać plik /proc/self/environ .
4. Model może następnie zostać poinstruowany, by wykraść dane, na przykład umieszczając je z powrotem w komentarzu. Badacze zauważyli dopracowaną wersję ataku, która usuwała pierwsze siedem znaków (sk-ant-) z klucza ANTHROPIC_API_KEY, aby uniknąć wykrycia przez automatyczne skanery sekretów .

Ta powierzchnia ataku – gdzie instrukcje w języku naturalnym wstrzyknięte do danych stają się wykonywalnymi poleceniami – stanowi sedno prompt injection, wektora zagrożeń, który gwałtownie definiuje krajobraz bezpieczeństwa dla agentów AI.

Łata przed ujawnieniem: Oś czasu

Kluczowym szczegółem jest to, że było to skoordynowane ujawnienie, w którym najpierw pojawiła się łatka.

• 5 maja 2026: Anthropic wydało wersję Claude Code 2.1.128, która łagodziła lukę, dostosowując sandboxing narzędzia Read do oczyszczania środowiska, które już stosowano w innych ścieżkach wykonawczych .
• 5 czerwca 2026: Microsoft opublikował swoją szczegółową analizę zagrożenia, wykorzystując to studium przypadku do przedstawienia pilnych zaleceń bezpieczeństwa dla całej branży .

Poza jedną usterką: Siedem nowych sposobów na awarię agentowej AI

Ujawnienie luki w Claude Code zbiegło się w czasie z szerszą oceną bezpieczeństwa. Dzień wcześniej, 4 czerwca 2026 roku, Czerwony Zespół AI Microsoftu opublikował wersję 2.0 swojej Taksonomii Trybów Awarii w Systemach Agentowej AI . Ta poważna aktualizacja, oparta na dwunastu miesiącach rzeczywistych testów penetracyjnych (tzw. red teaming) przeprowadzanych na wdrożonych agentach, dodała siedem zupełnie nowych kategorii awarii, które wykraczają daleko poza pojedynczą lukę w wykonywaniu kodu.

Nowe tryby awarii stanowią znaczącą eskalację w sposobie, w jaki badacze bezpieczeństwa myślą o autonomicznych systemach AI:

1. Agentic Supply Chain Compromise (Kompromitacja łańcucha dostaw agenta): W przeciwieństwie do tradycyjnych ataków na łańcuch dostaw oprogramowania, które dostarczają złośliwy kod, ten tryb obejmuje skompromitowane wtyczki, serwery MCP lub szablony promptów, które wstrzykują instrukcje w języku naturalnym, aby zmienić zachowanie agenta bez uruchamiania skanerów kodu .
2. Goal Hijacking (Przechwytywanie celu): Przeciwnik tworzy instrukcje, które wydają się pomagać w realizacji legalnego zadania, ale po cichu przekierowują ostateczny cel agenta. Z perspektywy oprogramowania agent pozostaje nieskompromitowany, ale został uzbrojony w cel atakującego .
3. Inter-Agent Trust Escalation (Eskalacja zaufania między agentami): W systemach wieloagentowych skompromitowany agent może fałszywie zgłaszać tożsamość o wyższym zaufaniu lub zawyżone uprawnienia centralnemu koordynatorowi, który nie weryfikuje ich niezależnie. Działa to jak wersja klasycznego problemu „zdezorientowanego zastępcy” (confused deputy) w języku naturalnym .
4. Computer Use Agent (CUA) Visual Attack (Atak wizualny na agenta operującego GUI): Agenci działający na interfejsach graficznych mogą być manipulowani za pomocą informacji wizualnych, które nie są oczywiste dla człowieka, takich jak ukryty tekst, elementy interfejsu poza ekranem lub obrazy z osadzonym ładunkiem prompt injection .
5. Session Context Contamination (Zanieczyszczenie kontekstu sesji): Subtelny atak, w którym przeciwnik wprowadza stronnicze lub złośliwe informacje na wczesnym etapie długiej, wieloetapowej sesji agenta. Dane te mogą nie uruchomić kontroli bezpieczeństwa na żadnym pojedynczym kroku, ale zniekształcają rozumowanie agenta w późniejszym, pozornie niepowiązanym działaniu .
6. MCP / Plugin Abuse (Nadużycie MCP/wtyczek): Zaktualizowane spojrzenie na powierzchnię ataku specyficzną dla Model Context Protocol (MCP) i architektur wtyczek, które stają się standardowym sposobem rozszerzania możliwości agentów .
7. Capability / Architecture Disclosure (Ujawnienie możliwości/architektury): Sam agent może zostać zmuszony do ujawnienia wrażliwych szczegółów swojej wewnętrznej konstrukcji – takich jak schematy narzędzi, interfejsy pamięci czy logika wyzwalająca zgodę człowieka – dając atakującemu plan przyszłych, bardziej precyzyjnych ataków .

Ta rozszerzona taksonomia zwiększyła liczbę trybów awarii z pierwotnych 27 do 34, co odzwierciedla rosnącą złożoność i rzeczywisty wpływ systemów agentowych .

Wzmacnianie CI/CD w świecie agentów AI

W odpowiedzi na przypadek Claude Code i szerszą aktualizację taksonomii, Microsoft nakreślił zestaw zaleceń bezpieczeństwa dla każdego zespołu integrującego AI ze swoimi potokami CI/CD. Wskazówki podkreślają, że częściowa izolacja to złudne poczucie bezpieczeństwa.

• Traktuj wszystkie niezaufane treści jako wektor ataku: Nigdy nie uruchamiaj automatycznie agenta AI na zgłoszeniach, PR-ach lub komentarzach od zewnętrznych kontrybutorów. Treści te muszą być traktowane jako potencjalnie wrogie dane wejściowe .
• Konsekwentnie izoluj narzędzia: Różnica między izolowanym narzędziem Bash a nieizolowanym narzędziem Read pokazała, że oczyszczanie środowiska musi być stosowane jednolicie. Pojedyncze nieizolowane narzędzie może skompromitować cały przepływ pracy .
• Stosuj zasadę najmniejszych uprawnień: Klucze API i tokeny dostępu agenta powinny mieć możliwie najwęższy zakres, ograniczając szkody w przypadku ich ujawnienia. Gdy to możliwe, używaj OIDC do uzyskiwania krótkotrwałych, ograniczonych zakresem poświadczeń .
• Sprawdzaj kontrolę „człowiek w pętli” (human-in-the-loop): Zabezpieczenia, które polegają na kontroli człowieka, mogą zawieść, jeśli ładunek ataku jest ukryty w surowym Markdownie lub komentarzach HTML, których recenzent nigdy nie widzi. Krok akceptacji przez człowieka jest tylko tak silny, jak to, co jest dla niego widoczne .
• Inwentaryzuj łańcuch dostaw agenta: Zespoły powinny generować listę materiałów oprogramowania (SBOM) dla każdego wdrożonego agenta, odzwierciedlając widoczność łańcucha dostaw, która jest obecnie standardem dla tradycyjnego oprogramowania .

Przez te zalecenia przewija się główna zasada architektoniczna, którą społeczność bezpieczeństwa nazywa "Regułą Dwóch" (Rule of Two). Wywodząca się z opublikowanego w październiku 2025 roku przez Meta frameworku praktycznego bezpieczeństwa agentów, reguła mówi, że agent powinien spełniać nie więcej niż dwa z trzech następujących warunków: przetwarzanie niezaufanych danych wejściowych, posiadanie dostępu do wrażliwych danych i posiadanie zdolności do wykonywania działań zmieniających stan zewnętrzny . Luka w Claude Code była klasycznym pogwałceniem tej zasady, ponieważ agent jednocześnie obsługiwał dane wejściowe z niezaufanego PR i posiadał potężne dane uwierzytelniające.