Небезпечна межа: як Claude Code зливав секрети, і чому агенти ШІ стали вразливішими, ніж будь-коли

1. Зловмисник відкриває на перший погляд безневинний issue або pull-запит у публічному репозиторії, який використовує GitHub Action для Claude Code.
2. Тіло issue або HTML-коментар містить інструкції для ШІ-агента, невидимі для людини-рев'юера, яка переглядає сторінку.
3. Коли запускається робочий процес, модель ШІ обробляє вміст як частину свого контексту та виконує вбудовані інструкції для читання /proc/self/environ .
4. Потім модель можна додатково проінструктувати вивести дані, наприклад, опублікувавши їх у коментарі. Дослідники відзначили вдосконалення, коли атака видаляла перші сім символів (sk-ant-) з ключа ANTHROPIC_API_KEY, щоб уникнути виявлення автоматичними сканерами секретів .

Ця поверхня атаки, де інструкції природною мовою, впроваджені в дані, стають виконуваними командами, є основою впровадження підказок (prompt injection) — вектора загрози, який стрімко визначає ландшафт безпеки для ШІ-агентів.

Попереджувальний патч: хронологія розкриття

Критично важливою деталлю є те, що це було скоординоване розкриття, де виправлення з'явилося першим.

• 5 травня 2026 року: компанія Anthropic випустила Claude Code 2.1.128, яка усунула уразливість, узгодивши ізоляцію інструмента Read з очищенням оточення, яке вже застосовувалося до інших шляхів виконання .
• 5 червня 2026 року: Microsoft опублікувала свій детальний аналіз загрози, використовуючи цей кейс для надання термінових рекомендацій з безпеки для всієї індустрії .

За межами одного бага: сім нових способів збоїв агентних ШІ-систем

Розкриття інформації про Claude Code відбулося на тлі більш масштабної оцінки безпеки. Днем раніше, 4 червня 2026 року, команда AI Red Team від Microsoft опублікувала версію 2.0 своєї Таксономії режимів збоїв в агентних ШІ-системах . Це значне оновлення, засноване на дванадцяти місяцях реальних тестувань на проникнення (red team engagements) розгорнутих агентів, додало сім абсолютно нових категорій збоїв, які виходять далеко за межі однієї помилки виконання коду.

Нові режими збоїв являють собою значну ескалацію того, як дослідники безпеки думають про автономні ШІ-системи:

1. Компрометація агентного ланцюга постачання (Agentic Supply Chain Compromise): На відміну від традиційних атак на ланцюг постачання ПЗ, які доставляють шкідливий код, тут йдеться про скомпрометовані плагіни, MCP-сервери або шаблони підказок, які впроваджують інструкції природною мовою для зміни поведінки агента, не викликаючи спрацьовування кодових сканерів .
2. Перехоплення цілі (Goal Hijacking): Зловмисник створює інструкції, які виглядають як допомога у виконанні легітимного завдання, але непомітно перенаправляють кінцеву мету агента. Агент залишається неушкодженим з точки зору програмного забезпечення, але був використаний для досягнення мети зловмисника .
3. Ескалація довіри між агентами (Inter-Agent Trust Escalation): У багатоагентних системах скомпрометований агент може неправдиво заявити про вищу довірену ідентичність або розширені дозволи центральному оркестратору, який не перевіряє їх самостійно. Це діє як версія класичної проблеми «розгубленого заступника» природною мовою .
4. Візуальна атака на агента використання комп'ютера (Computer Use Agent — CUA Visual Attack): Агенти, які працюють з графічними інтерфейсами, можуть бути маніпульовані візуальною інформацією, неочевидною для людини, наприклад, прихованим текстом, позаекранними елементами інтерфейсу або зображеннями, що містять шкідливе впровадження підказок .
5. Забруднення контексту сесії (Session Context Contamination): Тонка атака, коли зловмисник вводить упереджену або шкідливу інформацію на початку довгої багатокрокової сесії агента. Ці дані можуть не викликати спрацьовування засобів контролю безпеки на жодному окремому кроці, але спотворюють міркування агента в подальшій, на перший погляд не пов'язаній дії .
6. Зловживання MCP / плагінами (MCP / Plugin Abuse): Оновлений фокус на поверхнях атак, специфічних для протоколу контексту моделі (Model Context Protocol, MCP) та архітектур плагінів, які стають стандартним способом розширення можливостей агентів .
7. Розкриття можливостей / архітектури (Capability / Architecture Disclosure): Самого агента можна змусити витікати конфіденційні внутрішні деталі дизайну — такі як схеми інструментів, інтерфейси пам'яті або логіку, що запускає схвалення людиною — надаючи зловмиснику схему для майбутніх, більш точних атак .

Ця розширена таксономія перевела структуру з початкових 27 режимів збоїв до 34, що відображає зростаючу складність та реальний слід агентних систем .

Посилення безпеки CI/CD в агентному світі

У відповідь на кейс Claude Code та ширше оновлення таксономії, Microsoft окреслила набір рекомендацій з безпеки для будь-якої команди, яка інтегрує ШІ-агентів у свої конвеєри збірки. У рекомендаціях наголошується, що часткова ізоляція — це хибний спокій.

• Ставтеся до всього ненадійного вмісту як до вектора впровадження: Ніколи автоматично не запускайте робочий процес ШІ-агента на issues, pull-запитах або коментарях від зовнішніх учасників. Цей вміст слід розглядати як потенційно ворожий .
• Ізолюйте інструменти послідовно: Розрив між ізольованим інструментом Bash та неізольованим інструментом Read продемонстрував, що очищення оточення має застосовуватися однаково. Один-єдиний неізольований інструмент може скомпрометувати весь робочий процес .
• Застосовуйте принцип найменших привілеїв: Власні API-ключі та токени доступу агента повинні мати якомога вужчу область дії, обмежуючи шкоду в разі їх витоку. За можливості використовуйте OIDC для короткострокових, цільових облікових даних .
• Перевіряйте досвід «людини в циклі» (Human-in-the-Loop): Засоби контролю безпеки, які залежать від перевірки людиною, можуть відмовити, якщо шкідливий код прихований у необробленому Markdown або HTML-коментарях, які рев'юер ніколи не бачить. Крок людського схвалення настільки ж сильний, наскільки видимим є те, що пропонується для схвалення .
• Інвентаризуйте агентний ланцюг постачання: Команди повинні генерувати специфікацію програмного забезпечення (SBOM) для кожного розгорнутого агента, відображаючи видимість ланцюга постачання, яка зараз є стандартною для традиційного програмного забезпечення .

Через усі ці рекомендації проходить ключовий архітектурний принцип, який спільнота безпеки називає «Правилом двох» (Rule of Two). Походячи з фреймворку Meta від жовтня 2025 року для практичної безпеки агентів, правило стверджує, що агент повинен задовольняти не більше ніж двом із трьох наступних умов: обробка ненадійних вхідних даних, наявність доступу до конфіденційних даних і здатність виконувати дії, що змінюють зовнішній стан . Уразливість Claude Code була класичним порушенням цього принципу, оскільки агент одночасно обробляв вхідні дані з ненадійного PR і володів потужними обліковими даними.