Microsoft phơi bày lỗ hổng rò rỉ bí mật CI/CD của Claude Code qua Prompt Injection

Một cuộc tấn công có thể diễn ra chỉ trong vài bước kín đáo:

1. Kẻ tấn công mở một issue hoặc pull request tưởng chừng vô hại trong một kho lưu trữ công khai đang sử dụng GitHub Action của Claude Code.
2. Phần nội dung của issue hoặc một comment HTML chứa các chỉ thị cho tác tử AI, vô hình trước mắt người đánh giá đang quét trang.
3. Khi luồng công việc được kích hoạt, mô hình AI xử lý nội dung như một phần ngữ cảnh của nó và làm theo các chỉ thị được nhúng để đọc /proc/self/environ .
4. Sau đó, mô hình có thể được chỉ thị thêm để đánh cắp dữ liệu, ví dụ bằng cách đăng nó trở lại trong một comment. Các nhà nghiên cứu đã ghi nhận một cách tinh chỉnh khi cuộc tấn công loại bỏ bảy ký tự đầu tiên (sk-ant-) khỏi ANTHROPIC_API_KEY để tránh bị các trình quét bí mật tự động phát hiện .

Bề mặt tấn công này – nơi các chỉ thị ngôn ngữ tự nhiên được tiêm vào dữ liệu trở thành các lệnh khả thi – chính là cốt lõi của prompt injection (tiêm lệnh qua lời nhắc), một vectơ đe dọa đang nhanh chóng định hình bối cảnh an ninh cho các tác tử AI.

Bản vá chủ động: Dòng thời gian công bố

Một chi tiết quan trọng là đây là một tiết lộ có phối hợp, nơi bản vá đến trước.

• Ngày 5 tháng 5 năm 2026: Anthropic phát hành Claude Code 2.1.128, phiên bản đã giảm thiểu lỗ hổng bằng cách điều chỉnh sandbox của công cụ Read cho khớp với việc làm sạch biến môi trường đã được áp dụng cho các đường dẫn thực thi khác .
• Ngày 5 tháng 6 năm 2026: Microsoft công bố phân tích đe dọa chi tiết của mình, sử dụng nghiên cứu điển hình này để đưa ra các khuyến nghị bảo mật khẩn cấp cho toàn ngành .

Ngoài một lỗi đơn lẻ: Bảy cách thức mới khiến hệ thống AI tác tử thất bại

Tiết lộ về Claude Code xuất hiện trong bối cảnh một đánh giá an ninh toàn diện hơn. Một ngày trước đó, vào ngày 4 tháng 6 năm 2026, Nhóm Red Team AI của Microsoft đã xuất bản phiên bản 2.0 của Bảng phân loại các phương thức thất bại trong Hệ thống AI tác tử (Taxonomy of Failure Modes in Agentic AI Systems) . Bản cập nhật lớn này, dựa trên mười hai tháng thực chiến (red-team engagements) chống lại các tác tử đã được triển khai, đã bổ sung bảy hạng mục thất bại hoàn toàn mới, vượt xa một lỗ hổng thực thi mã đơn lẻ.

Các phương thức thất bại mới này thể hiện một sự leo thang đáng kể trong cách các nhà nghiên cứu bảo mật nghĩ về các hệ thống AI tự hành:

1. Xâm nhập Chuỗi cung ứng Tác tử (Agentic Supply Chain Compromise): Không giống các cuộc tấn công chuỗi cung ứng phần mềm truyền thống cung cấp mã độc, kiểu tấn công này liên quan đến các plugin, máy chủ MCP, hoặc mẫu prompt bị xâm nhập để tiêm các chỉ thị ngôn ngữ tự nhiên nhằm thay đổi hành vi của tác tử mà không kích hoạt bất kỳ trình quét mã nào .
2. Chiếm quyền Mục tiêu (Goal Hijacking): Kẻ tấn công tạo ra các chỉ thị có vẻ như giúp hoàn thành một nhiệm vụ hợp pháp, nhưng âm thầm chuyển hướng mục tiêu cuối cùng của tác tử. Từ góc độ phần mềm, tác tử không bị xâm phạm, nhưng nó đã bị vũ khí hóa để phục vụ mục tiêu của kẻ tấn công .
3. Leo thang Tin cậy Liên tác tử (Inter-Agent Trust Escalation): Trong các hệ thống đa tác tử, một tác tử bị xâm phạm có thể khai man danh tính có độ tin cậy cao hơn hoặc quyền hạn bị thổi phồng với một trung tâm điều phối không xác minh chúng một cách độc lập. Đây là phiên bản ngôn ngữ tự nhiên của vấn đề kinh điển "người đại diện bối rối" (confused deputy) .
4. Tấn công Hình ảnh Tác tử Sử dụng Máy tính (Computer Use Agent - CUA Visual Attack): Các tác tử vận hành giao diện đồ họa có thể bị thao túng bởi thông tin hình ảnh không rõ ràng đối với con người, chẳng hạn như văn bản ẩn, thành phần giao diện người dùng ngoài màn hình hoặc hình ảnh nhúng payload prompt injection .
5. Ô nhiễm Ngữ cảnh Phiên làm việc (Session Context Contamination): Một cuộc tấn công tinh vi khi kẻ tấn công đưa thông tin sai lệch hoặc độc hại vào đầu một phiên làm việc dài, nhiều bước của tác tử. Dữ liệu này có thể không kích hoạt kiểm soát an toàn ở bất kỳ bước đơn lẻ nào nhưng lại làm hỏng lập luận của tác tử trong một hành động tiếp theo, tưởng chừng không liên quan .
6. Lạm dụng MCP / Plugin (MCP / Plugin Abuse): Trọng tâm cập nhật về các bề mặt tấn công dành riêng cho Giao thức Ngữ cảnh Mô hình (Model Context Protocol - MCP) và kiến trúc plugin, những thứ đang trở thành cách tiêu chuẩn để mở rộng khả năng của tác tử .
7. Tiết lộ Khả năng / Kiến trúc (Capability / Architecture Disclosure): Bản thân tác tử có thể bị ép làm rò rỉ các chi tiết thiết kế nội bộ nhạy cảm – chẳng hạn như lược đồ công cụ, giao diện bộ nhớ, hoặc logic kích hoạt sự phê duyệt của con người – cung cấp cho kẻ tấn công một bản thiết kế cho các cuộc tấn công chính xác hơn trong tương lai .

Bảng phân loại mở rộng này đã đưa khuôn khổ từ 27 phương thức thất bại ban đầu lên 34, phản ánh sự phức tạp ngày càng tăng và dấu ấn thực tế của các hệ thống tác tử .

Làm cứng CI/CD trong một thế giới tác tử

Để đối phó với trường hợp của Claude Code và bản cập nhật bảng phân loại rộng hơn, Microsoft đã vạch ra một loạt khuyến nghị bảo mật cho bất kỳ đội nhóm nào tích hợp tác tử AI vào quy trình xây dựng của họ. Hướng dẫn này nhấn mạnh rằng cô lập một phần chỉ là sự an ủi giả tạo.

• Coi mọi nội dung không đáng tin cậy là một vectơ tiêm nhiễm (Injection Vector): Không bao giờ tự động chạy luồng công việc của tác tử AI trên các issue, PR hoặc comment từ những người đóng góp bên ngoài. Nội dung này phải được coi là đầu vào có khả năng thù địch .
• Cô lập các Công cụ một cách Nhất quán: Khoảng cách giữa công cụ Bash được sandbox và công cụ Read không được sandbox đã chứng minh rằng việc làm sạch biến môi trường phải được áp dụng đồng nhất. Một công cụ duy nhất không được sandbox cũng có thể làm hỏng toàn bộ luồng công việc .
• Áp dụng Nguyên tắc Đặc quyền Tối thiểu (Least Privilege): Khóa API và mã thông báo truy cập của chính tác tử phải có phạm vi hẹp nhất có thể, hạn chế thiệt hại nếu chúng bị lộ. Sử dụng OIDC cho thông tin xác thực có thời gian tồn tại ngắn, giới hạn mục đích khi có thể .
• Kiểm tra Trải nghiệm 'Con người trong Vòng lặp' (Human-in-the-Loop): Các kiểm soát bảo mật phụ thuộc vào đánh giá của con người có thể thất bại nếu payload tấn công bị ẩn trong các comment Markdown hoặc HTML thô mà người đánh giá không bao giờ nhìn thấy. Bước phê duyệt của con người chỉ mạnh bằng những gì được hiển thị để phê duyệt .
• Kiểm kê Chuỗi cung ứng Tác tử: Các đội nhóm nên tạo một hóa đơn vật liệu phần mềm (SBOM) cho mỗi tác tử được triển khai, phản ánh khả năng hiển thị chuỗi cung ứng hiện đã là tiêu chuẩn cho phần mềm truyền thống .

Xuyên suốt hướng dẫn này là một nguyên tắc kiến trúc cốt lõi mà cộng đồng bảo mật gọi là "Quy tắc Hai" (Rule of Two) . Bắt nguồn từ khuôn khổ tháng 10 năm 2025 của Meta về bảo mật tác tử thực tế, quy tắc này nói rằng một tác tử phải thỏa mãn không quá hai trong ba điều kiện sau: xử lý đầu vào không đáng tin cậy, có quyền truy cập vào dữ liệu nhạy cảm và có khả năng thực thi các hành động thay đổi trạng thái bên ngoài . Lỗ hổng Claude Code là một vi phạm kinh điển của nguyên tắc này, vì tác tử đồng thời xử lý đầu vào từ một PR không đáng tin cậy và nắm giữ thông tin xác thực mạnh mẽ.