微软警告称 ClaudeCode 存在漏洞，可能导致 GitHub 账号凭证泄露

6月7日，微软安全团队对外披露了一个值得关注的发现：Anthropic旗下的Claude Code，在其GitHub自动化流程中存在一处安全漏洞。这个漏洞可能导致CI/CD工作流中的敏感凭证信息泄露，攻击者利用提示词注入攻击，就能悄悄获取这些关键密钥。

事情的起因，是微软威胁情报团队在日常监测中，发现了一些公开代码库里出现了针对AI辅助型GitHub工作流的提示词注入攻击迹象。这引起了他们的警觉，于是启动了一项专项研究。

简单解释一下，提示词注入是一种AI安全领域的常见漏洞类型。攻击者的思路很直接——在大模型要处理的内容里，悄悄嵌入带误导性的指令，从而操控模型的行为。大语言模型的设计初衷是遵循开发者指令、响应用户提问，而攻击者要做的，就是让它把预设的指令抛到脑后。

研究人员举了个具体的例子来说明这个问题。有攻击者把恶意指令藏在了HTML注释里。这类注释在GitHub页面上完全不可见，但在读取原始Markdown源码时，AI模型却能够捕捉到。涉事的代码库当时正好依靠GitHub自动化流程来处理工单问题。

攻击者甚至不需要获取项目的修改权限，只需提交一条GitHub工单，把恶意指令伪装成一个普通的功能需求，就能诱骗AI机器人替自己执行修改操作。门槛确实不高。

微软进一步证实，同样的手段同样能够针对Anthropic的Claude Code GitHub自动化流程发起攻击。此前，Anthropic其实已经为部分工具——比如允许Claude在系统中执行命令的Bash工具——设置了沙箱防护。但问题在于，Claude用来读取文件的读取工具，并没有享受到同等级别的安全限制。

研究人员为此制作了一个提示词注入攻击载荷进行验证。测试结果显示，这波恶意提示词成功绕过了两重防护，直接诱导AI助手读取了存放API密钥及其他凭证的系统文件。

微软在4月29日将这一漏洞上报给了Anthropic。Anthropic也很快响应，在5月5日发布了Claude Code 2.1.128版本，修复了这个问题——核心措施是限制对/proc/目录下敏感文件的访问，从源头切断信息窃取的路径。