Los investigadores de Microsoft revelaron una vulnerabilidad ahora corregida en la Acción de GitHub de Claude Code de Anthropic, que permitía a los atacantes exponer credenciales mediante ataques de inyección de prompts. Microsoft divulgó el problema a través de HackerOne el 29 de abril, y Anthropic lanzó un parche el 5 de mayo con la versión 2.1.128 de Claude Code. La vulnerabilidad aprovechaba agentes de IA que se ejecutaban en flujos de trabajo de CI/CD, donde instrucciones maliciosas ocultas en issues, pull requests o comentarios de GitHub podían manipular la IA para que accediera a información sensible. Microsoft advirtió que los agentes de codificación con IA crean nuevos riesgos de seguridad porque los entornos de desarrollo a menudo contienen claves de API, credenciales de la nube y otros datos sensibles.
Investigadores de Microsoft expusieron el vector de ataque de inyección de prompts en Claude Code
Los investigadores de Microsoft descubrieron que los atacantes podían usar ataques de inyección de prompts ocultos en issues de GitHub, pull requests o comentarios para manipular Claude Code y forzarlo a acceder a archivos que contenían credenciales sensibles. En un blog publicado el viernes, Microsoft indicó que la investigación comenzó “después de observar intentos de inyección de prompts en repositorios públicos usando flujos de trabajo de GitHub con asistencia de IA en múltiples proveedores, donde el contenido de un issue o [pull requests] controlado por el atacante es procesado por el agente de IA y podría influir en el uso de sus herramientas”.
Para probar la vulnerabilidad, Microsoft creó un flujo de trabajo de GitHub y disfrazó instrucciones maliciosas detrás de contenido alojado en un dominio que controlaba, lo que permitió a los investigadores eludir las protecciones de seguridad de Claude. El truco de inyección de prompts hizo que Claude leyera credenciales sensibles y las alterara para evadir tanto las salvaguardas de Claude como las herramientas de detección de secretos de GitHub. Microsoft dijo que un atacante podría entonces reconstruir la credencial y exfiltrarla a través de comentarios de issues, registros del flujo de trabajo, solicitudes web o comandos de shell.
“Para eludir los mecanismos de seguridad de rechazo de Sonnet, ofuscamos la carga útil del shell detrás de una respuesta de nuestro dominio controlado”, indicó Microsoft. “También habilitamos que el flujo se activara por usuarios sin permisos de ‘write’ para garantizar que las mitigaciones por las variables de entorno de Anthropic estuvieran activas durante nuestras pruebas”.
Anthropic corrigió la vulnerabilidad el 5 de mayo tras la divulgación por HackerOne
Anthropic corrigió la falla el 5 de mayo con Claude Code versión 2.1.128 después de que Microsoft divulgara la vulnerabilidad a través de HackerOne el 29 de abril. Claude Code, el agente de codificación con IA de Anthropic para tareas de desarrollo de software, se lanzó en octubre. La herramienta recibió escrutinio en marzo después de que Anthropic filtrara accidentalmente más de 500.000 líneas de su código fuente, exponiendo detalles de su arquitectura interna.
En GitHub, una pull request permite a los desarrolladores proponer cambios a un repositorio de código y hacer que esos cambios se revisen antes de que se aprueben y se fusionen. La vulnerabilidad aprovechó este proceso de revisión al incrustar instrucciones maliciosas que el agente de IA procesaría.
Microsoft advierte que las funciones de lenguaje natural son código ejecutable en sistemas de IA
A pesar de múltiples capas de controles de seguridad integrados, Microsoft descubrió que un atacante decidido podría, potencialmente, manipular un agente de IA para que expusiera información sensible. “Estamos entrando en una era en la que el lenguaje natural es código ejecutable, y entradas no confiables como los issues de GitHub deben tratarse como hostiles por defecto”, indicó Microsoft. “Con un solo comentario cuidadosamente elaborado combinado con un límite de confianza mal entendido, basta para marcharse con credenciales de producción”.
El informe llega cuando los ataques de inyección de prompts han surgido como una de las mayores amenazas de seguridad para los agentes de IA. En un ataque de inyección de prompts, un atacante oculta instrucciones en contenido como correos electrónicos, documentos, sitios web o comentarios de código, haciendo que un sistema de IA siga esas instrucciones en lugar de las indicaciones del usuario.
Preguntas frecuentes
¿Qué vulnerabilidad descubrió Microsoft en la Acción de GitHub de Claude Code?
Los investigadores de Microsoft encontraron que la Acción de GitHub de Claude Code de Anthropic podía manipularse mediante ataques de inyección de prompts ocultos en issues de GitHub, pull requests o comentarios. La vulnerabilidad permitía a los atacantes exponer credenciales almacenadas en pipelines de desarrollo de software al engañar al agente de IA para que accediera a archivos sensibles y exfiltrara la información mediante comentarios de issues, registros del flujo de trabajo, solicitudes web o comandos de shell.
¿Cuándo corrigió Anthropic la vulnerabilidad de Claude Code?
Anthropic corrigió la vulnerabilidad el 5 de mayo con Claude Code versión 2.1.128 después de que Microsoft divulgara el problema a través de HackerOne el 29 de abril. El parche abordó el vector de ataque de inyección de prompts que permitía la manipulación del agente de IA en flujos CI/CD.
¿Por qué los agentes de codificación con IA son vulnerables a los ataques de inyección de prompts?
Microsoft advirtió que los agentes de codificación con IA que se ejecutan dentro de flujos de CI/CD crean nuevos riesgos de seguridad porque esos entornos a menudo tienen acceso a claves de API, credenciales de la nube y otra información sensible. Los ataques de inyección de prompts explotan el hecho de que el lenguaje natural puede funcionar como código ejecutable, lo que permite a los atacantes ocultar instrucciones maliciosas en el contenido que el agente de IA procesa durante tareas de revisión de código.
