Claude Code-läckan och den växande attackytan för agentisk AI

En attack kunde utvecklas i några diskreta steg:

1. En angripare öppnar ett till synes oskyldigt ärende eller en pull request i ett publikt repository som använder Claude Code GitHub Action.
2. Brödtexten i ärendet eller en HTML-kommentar innehåller instruktioner för AI-agenten, osynliga för en mänsklig granskare som skannar sidan.
3. När arbetsflödet triggas, bearbetar AI-modellen innehållet som en del av sin kontext och följer de inbäddade instruktionerna för att läsa /proc/self/environ .
4. Modellen kunde sedan instrueras vidare att exfiltrera datan, till exempel genom att posta den i en kommentar. Forskarna noterade en förfining där attacken strippade de första sju tecknen (sk-ant-) från ANTHROPIC_API_KEY för att undgå automatiska skannrar för hemligheter .

Denna attackyta – där instruktioner i naturligt språk, injicerade i data, blir körbara kommandon – är kärnan i prompt injection, en hotvektor som snabbt definierar säkerhetslandskapet för AI-agenter.

En förebyggande patch: Tidslinjen för avslöjandet

En kritisk detalj är att detta var ett koordinerat avslöjande där korrigeringen kom först.

• 5 maj 2026: Anthropic släppte Claude Code 2.1.128, som mildrade sårbarheten genom att anpassa Read-verktygets sandlådeisolering till den miljörensning som redan tillämpades på andra exekveringsvägar .
• 5 juni 2026: Microsoft publicerade sin detaljerade hotanalys och använde fallstudien för att ge brådskande säkerhetsrekommendationer till hela branschen .

Bortom en enskild bugg: Sju nya sätt som agentiska AI-system kan kapsejsa

Avslöjandet kring Claude Code skedde mot bakgrund av en mer omfattande säkerhetsutvärdering. En dag tidigare, den 4 juni 2026, publicerade Microsofts AI Red Team version 2.0 av sin Taxonomy of Failure Modes in Agentic AI Systems (Taxonomi över felmoder i agentiska AI-system) . Denna stora uppdatering, grundad på tolv månaders skarpa röda team-övningar mot driftsatta agenter, lade till sju helt nya kategorier av fel som sträcker sig långt bortom en enda kod-exekveringsbrist.

De nya felmoderna representerar en betydande eskalering i hur säkerhetsforskare tänker kring autonoma AI-system:

1. Agentic Supply Chain Compromise (Kompromettering av agentens leveranskedja): Till skillnad från traditionella attacker mot mjukvaruleveranskedjor som levererar skadlig kod, involverar detta komprometterade plugins, MCP-servrar eller promptmallar som injicerar naturligt språk för att ändra en agents beteende utan att trigga kodskannrar .
2. Goal Hijacking (Målkapning): En motståndare skapar instruktioner som verkar hjälpa till att slutföra en legitim uppgift men som tyst omdirigerar agentens slutgiltiga mål. Agenten förblir okomprometterad ur ett mjukvaruperspektiv men har beväpnats mot angriparens syfte .
3. Inter-Agent Trust Escalation (Tillitseskalering mellan agenter): I multi-agentsystem kan en komprometterad agent felaktigt hävda en högre tillitsidentitet eller uppblåsta behörigheter till en central samordnare som inte oberoende verifierar dem. Detta fungerar som en version i naturligt språk av det klassiska "förvirrad ställföreträdare"-problemet .
4. Computer Use Agent (CUA) Visual Attack (Visuell attack mot agenter som använder datorgränssnitt): Agenter som opererar grafiska gränssnitt kan manipuleras av visuell information som inte är uppenbar för en människa, såsom dold text, UI-element utanför skärmen, eller bilder som bäddar in en prompt injection-nyttolast .
5. Session Context Contamination (Sessionskontext-kontaminering): En subtil attack där en motståndare introducerar partisk eller skadlig information tidigt i en lång, flerstegs agentsession. Denna data kanske inte triggar en säkerhetskontroll vid något enskilt steg, men korrumperar agentens resonemang i en efterföljande, till synes orelaterad handling .
6. MCP / Plugin Abuse (MCP/Plugin-missbruk): Ett uppdaterat fokus på attackytor specifika för Model Context Protocol (MCP) och plugin-arkitekturer, som håller på att bli standardmetoden för att utöka agenters kapacitet .
7. Capability / Architecture Disclosure (Avslöjande av kapacitet/arkitektur): Agenten själv kan förmås att läcka känsliga interna designdetaljer – såsom verktygsscheman, minnesgränssnitt, eller logiken som triggar mänskligt godkännande – vilket ger en angripare en ritning för framtida, mer exakta attacker .

Denna utökade taxonomi flyttade ramverket från de ursprungliga 27 felmoderna till 34, vilket speglar den växande komplexiteten och verkliga fotavtrycket hos agentiska system .

Så härdar du din CI/CD-pipeline i en agentisk värld

Som svar på Claude Code-fallet och den bredare taxonomiuppdateringen presenterade Microsoft en uppsättning säkerhetsrekommendationer för varje team som integrerar AI-agenter i sina bygg-pipelines. Vägledningen understryker att partiell isolering är en falsk trygghet.

• Behandla allt icke-verifierat innehåll som en injektionsvektor: Kör aldrig automatiskt ett AI-agentarbetsflöde på ärenden, pull requests eller kommentarer från externa bidragsgivare. Detta innehåll måste behandlas som potentiellt fientlig indata .
• Isolera verktyg konsekvent: Glappet mellan det sandlådeisolerade Bash-verktyget och det osandlådade Read-verktyget visade att miljörensning måste tillämpas enhetligt. Ett enda oisolerat verktyg kan äventyra ett helt arbetsflöde .
• Tillämpa principen om minsta privilegium: Agentens egna API-nycklar och åtkomst-tokens bör ha smalast möjliga behörighetsomfång, vilket begränsar skadan om de exponeras. Använd OIDC för kortlivade, ändamålsbegränsade autentiseringsuppgifter när det är möjligt .
• Granska "människan-i-loopen"-upplevelsen: Säkerhetskontroller som är beroende av en mänsklig granskning kan misslyckas om attacknyttolasten är dold i rå Markdown eller HTML-kommentarer som granskaren aldrig ser. Steget för mänskligt godkännande är bara så starkt som det som görs synligt för godkännande .
• Inventera agentens leveranskedja: Team bör generera en programvaruförteckning (SBOM) för varje driftsatt agent, vilket speglar den insyn i leveranskedjan som nu är standard för traditionell mjukvara .

Invävd i denna vägledning finns en central arkitektonisk princip som säkerhetssamfundet kallar "Rule of Two" (Regeln om två). Med sitt ursprung i Metas ramverk från oktober 2025 för praktisk agentsäkerhet, anger regeln att en agent inte bör uppfylla mer än två av följande tre villkor: bearbeta icke tillförlitlig indata, ha tillgång till känslig data, och ha förmågan att utföra handlingar som ändrar externt tillstånd . Claude Code-sårbarheten var ett klassiskt brott mot denna princip, då agenten samtidigt hanterade indata från en icke-verifierad PR och innehade kraftfulla autentiseringsuppgifter.