事件经过
Anthropic 的官方 GitHub Action 用于针对 PR/issue 运行 Claude Code,它在运行 CLI 之前没有对来自攻击者控制的 PR 分支的配置文件(如 .mcp.json)进行清理,允许恶意贡献者注入恶意 MCP 服务器配置,在 action 处理他们的 PR 时执行。
影响分析
这是对集成 CI/CD 的 AI 代码编辑代理的供应链风格攻击:任何使用 claude-code-action 自动审查外部 PR 的公开存储库都可能因为恶意拉取请求提供的中毒 MCP 配置而导致其 CI 环境(secrets、tokens)遭到破坏。
攻击途径
该 action 检出了攻击者控制的 PR head 分支,并通过默认设置源从工作目录读取 .mcp.json 及其他配置文件,然后无条件地在该检出目录中执行 Claude Code CLI — 允许恶意 PR 植入被 action 加载和执行的中毒 .mcp.json。
受影响系统
Claude Code Action (anthropics/claude-code-action) 1.0.74 之前的版本
缓解措施
升级到 claude-code-action 1.0.74 或更高版本,该版本在执行前从 PR 的基础分支恢复受信任的配置 (restoreConfigFromBase)。参见 GitHub commit 9ddce40de8c1ab71fb6303a125fdad0968dc1312。