何が起きたか
Microsoft の Defender Security Research Team は6月5日に、Anthropic の Claude Code GitHub Actions における権限モデルバイパスの分析を公開しました。この脆弱性により、書き込みアクセス権を持たない外部コントリビューターが、GitHub App 信頼バイパス(あらゆる GitHub App アクターが実際の権限に関わらず無条件で信頼された)を通じてワークフローをトリガーできました。Flatt Security の研究者 RyotaK は6月1日に独立して、悪意のある GitHub issue を使用して信頼されていない入力をワークフローに提供し、それを使用している任意のリポジトリ(Anthropic 自身のリポジトリを含む)へコード注入を行う可能性があることを開示しました。Anthropic は Claude Code GitHub Actions v1.0.94 で問題にパッチを適用しました。
なぜ重要か
このことは、CI/CD パイプラインに組み込まれた AI コーディングエージェントがパイプライン自体の影響範囲を継承することを示しています。侵害された Claude Code GitHub Action はコード、issue、PR、ディスカッション、およびワークフローファイルに対する読み取り/書き込みアクセス権を持っていました。つまり、1つのバイパスですべてのダウンストリームリポジトリへの悪意のあるコード伝播が可能になります。企業が CI/CD で AI コーディングエージェントを急速に採用する中で、このパターン(特権エージェント + 信頼されていない入力チャネルを経由した間接的プロンプトインジェクション)は現在、実在する攻撃クラスとして確認されています。
必要な対応
Claude Code GitHub Actions を使用しているチームは、直ちに v1.0.94 以降にアップグレードする必要があります。allowed_non_write_users 設定を確認し、CI/CD 権限での予期しない GitHub App アクターを監査します。CI/CD パイプラインの AI エージェント権限をシークレットと同等の感度として扱い、同じ最小権限原則および監査ログされたアクセスパターンをデプロイします。