事件经过
Microsoft的Defender安全研究团队于6月5日发布了对Anthropic的Claude Code GitHub Actions中权限模型绕过的分析,该绕过允许没有写入权限的外部贡献者通过GitHub App信任绕过触发工作流(任何GitHub App参与者都被无条件信任,无论其实际权限如何)。Flatt Security研究员RyotaK在6月1日独立披露,恶意GitHub问题可用于向工作流提供不受信任的输入,可能将代码注入到使用它的任何存储库 — 包括Anthropic自身的存储库。Anthropic在Claude Code GitHub Actions v1.0.94中修补了该问题。
影响分析
这表明嵌入在CI/CD管道中的AI编码代理继承了管道本身的爆炸范围 — 被破坏的Claude Code GitHub Action具有对代码、问题、PR、讨论和工作流文件的读/写权限,意味着单个绕过可能将恶意代码传播到所有下游存储库。随着企业在CI/CD中快速采纳AI编码代理,这一模式(特权代理+通过不受信任的输入通道的间接提示注入)现在是一个确认的、已在野外被利用的攻击类别。
建议行动
使用Claude Code GitHub Actions的任何团队必须立即升级到v1.0.94或更高版本;审查allowed_non_write_users设置并审计CI/CD权限中是否存在意外的GitHub App参与者;将AI代理权限在CI/CD管道中视为与机密一样敏感,并部署相同的最小特权、审计记录的访问模式。