Apa yang terjadi
GitHub Action resmi Anthropic untuk menjalankan Claude Code terhadap PR/issues tidak menyanitasi file konfigurasi (seperti .mcp.json) dari cabang PR yang dikontrol penyerang sebelum menjalankan CLI, memungkinkan kontributor berbahaya untuk menyuntikkan konfigurasi server MCP berbahaya yang dieksekusi ketika tindakan memproses PR mereka.
Mengapa penting
Ini adalah serangan gaya rantai pasokan pada agen pengkodean AI yang terintegrasi CI/CD: repositori publik apa pun yang menggunakan claude-code-action untuk meninjau PR eksternal secara otomatis dapat memiliki lingkungan CI-nya (rahasia, token) dikompromikan hanya dengan permintaan pull berbahaya yang menyuplai konfigurasi MCP yang beracun.
Vektor serangan
Tindakan ini melakukan checkout pada cabang kepala PR yang dikontrol penyerang dan membaca .mcp.json plus file konfigurasi lainnya dari direktori kerja melalui sumber pengaturan default, kemudian secara tanpa syarat menjalankan Claude Code CLI di direktori yang di-checkout — memungkinkan PR berbahaya untuk menempatkan .mcp.json yang beracun yang dimuat dan dieksekusi oleh tindakan.
Sistem yang terdampak
Claude Code Action (anthropics/claude-code-action) sebelum 1.0.74
Mitigasi
Upgrade ke claude-code-action 1.0.74 atau lebih baru, yang memulihkan konfigurasi terpercaya dari cabang dasar PR sebelum eksekusi (restoreConfigFromBase). Lihat komit GitHub 9ddce40de8c1ab71fb6303a125fdad0968dc1312.