Как GitHub Action Claude Code сливал CI/CD-секреты, и почему агентный ИИ стал ещё опаснее

Атака разворачивалась в несколько незаметных шагов:

1. Злоумышленник создаёт внешне безобидную задачу (issue) или пул-реквест в публичном репозитории, использующем Claude Code GitHub Action.
2. Тело задачи или HTML-комментарий содержит инструкции для ИИ-агента, невидимые для человека, просматривающего страницу.
3. При срабатывании воркфлоу модель обрабатывает этот контент как часть своего контекста и выполняет заложенные указания — читает /proc/self/environ .
4. Дальше модель можно попросить эксфильтровать данные, например, опубликовав их в ответном комментарии. Исследователи отметили доработку атаки: агент сначала отрезал первые семь символов (sk-ant-) от значения ANTHROPIC_API_KEY, чтобы избежать детектирования автоматическими сканерами секретов .

Эта поверхность атаки, где инструкции на естественном языке, внедрённые в данные, становятся исполняемыми командами, — и есть суть промпт-инъекции. Именно этот вектор стремительно определяет ландшафт безопасности для ИИ-агентов.

Превентивный патч: хронология раскрытия

Критически важно, что это было скоординированное раскрытие: исправление вышло раньше публичного отчёта.

• 5 мая 2026 года: Anthropic выпустила Claude Code 2.1.128, где устранена уязвимость: инструмент «Read» получил изоляцию, согласованную с очисткой окружения, уже применённой к другим путям исполнения .
• 5 июня 2026 года: Microsoft опубликовала подробный анализ угрозы, используя этот кейс для формулировки срочных рекомендаций всей индустрии .

Больше одного бага: семь новых способов отказов агентного ИИ

Раскрытие по Claude Code совпало с более масштабной оценкой безопасности. Днём ранее, 4 июня 2026 года, AI Red Team Microsoft опубликовала версию 2.0 документа «Таксономия режимов отказов в агентных ИИ-системах» (Taxonomy of Failure Modes in Agentic AI Systems) . Это серьёзное обновление, подкреплённое 12 месяцами реальных ред-тим-испытаний на внедрённых агентах, добавило семь совершенно новых категорий, выходящих далеко за рамки единичной уязвимости выполнения кода.

Новые режимы отказов отражают значительную эскалацию в том, как исследователи безопасности осмысляют автономные ИИ-системы:

1. Компрометация цепочки поставок агента (Agentic Supply Chain Compromise): В отличие от классических атак на цепочку поставок ПО, доставляющих вредоносный код, здесь скомпрометированные плагины, MCP-серверы или промпт-шаблоны внедряют инструкции на естественном языке, меняющие поведение агента в обход сканеров кода .
2. Перехват цели (Goal Hijacking): Противник создаёт инструкции, которые выглядят как помощь в легитимной задаче, но незаметно перенаправляют конечную цель агента. С точки зрения ПО агент остаётся «чистым», однако фактически работает на злоумышленника .
3. Эскалация доверия между агентами (Inter-Agent Trust Escalation): В мультиагентных системах скомпрометированный агент может ложно заявить о более высоком уровне доверия или расширенных правах центральному оркестратору, который не проверяет эти утверждения самостоятельно. Это естественно-языковая версия классической проблемы «сбитого с толку заместителя» (confused deputy) .
4. Визуальная атака на Computer Use Agent (CUA): Агенты, работающие с графическими интерфейсами, могут быть обмануты визуальной информацией, не очевидной человеку: скрытым текстом, закадровыми элементами UI или изображениями с внедрённой промпт-инъекцией .
5. Заражение контекста сессии (Session Context Contamination): Тонкая атака, при которой злоумышленник подсовывает зашумлённую или вредоносную информацию в начале длинной многошаговой сессии агента. Эти данные могут не вызвать срабатывания защиты ни на одном отдельном шаге, но исказить логику агента в последующем, на вид не связанном действии .
6. Злоупотребление MCP / плагинами: Обновлённый фокус на поверхности атаки, специфичные для Model Context Protocol (MCP) и плагинных архитектур, которые становятся стандартным способом расширения возможностей агентов .
7. Раскрытие возможностей / архитектуры (Capability / Architecture Disclosure): Самого агента можно вынудить слить чувствительные детали внутреннего устройства: схемы инструментов, интерфейсы памяти или логику, запускающую одобрение человеком. Это даёт атакующему чертёж для будущих, более точных атак .

Обновлённая таксономия расширила фреймворк с первоначальных 27 режимов отказов до 34, отражая растущую сложность и реальный производственный охват агентных систем .

Закаливание CI/CD в агентном мире

В ответ на кейс Claude Code и общее обновление таксономии Microsoft сформулировала набор рекомендаций по безопасности для всех команд, встраивающих ИИ-агентов в свои сборочные конвейеры. Главный принцип: частичная изоляция — это ложное спокойствие.

• Считайте любой непроверенный контент вектором инъекции: Никогда не запускайте воркфлоу ИИ-агента автоматически на задачах (issues), пул-реквестах или комментариях от внешних участников. Этот контент должен расцениваться как потенциально враждебный ввод .
• Изолируйте инструменты единообразно: Разрыв между изолированным Bash и неизолированным Read показал, что очистка окружения должна применяться равномерно. Единственный незащищённый инструмент способен скомпрометировать весь воркфлоу .
• Применяйте принцип минимальных привилегий: API-ключи и токены доступа самого агента должны иметь максимально узкий скоуп, ограничивая ущерб в случае раскрытия. По возможности используйте OIDC для получения краткосрочных, целевых учётных данных .
• Аудируйте опыт «человека в контуре» (human-in-the-loop): Защита, полагающаяся на проверку человеком, может дать сбой, если вредоносная нагрузка спрятана в сыром Markdown или HTML-комментариях, которые рецензент никогда не увидит. Шаг одобрения человеком силён настолько, насколько сильна видимость того, что он одобряет .
• Инвентаризируйте цепочку поставок агента: Команды должны формировать SBOM (спецификацию состава ПО) для каждого развёрнутого агента, зеркально отражая прозрачность цепочки поставок, уже ставшую стандартом в традиционной разработке ПО .

Красной нитью через все эти рекомендации проходит ключевой архитектурный принцип, который сообщество безопасности называет «Правилом двух» (Rule of Two) . Зародившись в октябрьском (2025 года) фреймворке Meta по практической безопасности агентов, правило гласит: агент должен удовлетворять не более чем двум из трёх условий — обрабатывать непроверенный ввод, иметь доступ к чувствительным данным и обладать возможностью совершать действия, меняющие внешнее состояние . Уязвимость Claude Code стала классическим нарушением этого принципа: агент одновременно работал с вводом из непроверенного PR и держал в руках мощные учётные данные.