Apa yang terjadi
Tim Penelitian Keamanan Defender Microsoft menerbitkan pada 5 Juni analisis tentang bypass model izin di Claude Code GitHub Actions milik Anthropic yang memungkinkan kontributor eksternal tanpa akses tulis untuk memicu alur kerja melalui bypass kepercayaan GitHub App (aktor GitHub App apa pun dipercaya secara tidak bersyarat terlepas dari izin aktualnya). Peneliti Flatt Security RyotaK secara independen mengungkapkan pada 1 Juni bahwa isu GitHub berbahaya dapat digunakan untuk memberi umpan masukan yang tidak dipercaya ke alur kerja, berpotensi menyuntikkan kode ke repositori apa pun yang menggunakannya — termasuk repositori Anthropic sendiri. Anthropic menambal masalah tersebut di Claude Code GitHub Actions v1.0.94.
Mengapa penting
Ini menunjukkan bahwa agen pengkodean AI yang tertanam dalam pipeline CI/CD mewarisi jangkauan ledakan dari pipeline itu sendiri — Claude Code GitHub Action yang dikompromikan memiliki akses baca/tulis ke kode, isu, PR, diskusi, dan file alur kerja, artinya bypass tunggal dapat menyebarkan kode berbahaya ke semua repositori hilir. Dengan perusahaan yang dengan cepat mengadopsi agen pengkodean AI di CI/CD, pola ini (agen istimewa + injeksi prompt tidak langsung melalui saluran masukan yang tidak dipercaya) kini merupakan kelas serangan yang dikonfirmasi dan dieksploitasi di alam liar.
Tindakan yang diperlukan
Tim apa pun yang menggunakan Claude Code GitHub Actions harus melakukan upgrade ke v1.0.94 atau lebih baru segera; tinjau pengaturan allowed_non_write_users dan audit aktor GitHub App yang tidak terduga dalam izin CI/CD; perlakukan izin agen AI dalam pipeline CI/CD sebagai setara dalam sensitivitas terhadap rahasia dan terapkan pola akses least-privilege dan audit-logged yang sama.