Investigadores de Microsoft han revelado la existencia de una vulnerabilidad de seguridad, ya corregida, en Claude Code GitHub Action de Anthropic. El fallo habría permitido a atacantes exponer credenciales almacenadas en procesos de desarrollo de software manipulando el agente de IA mediante contenido malicioso en GitHub.
El equipo de Microsoft advierte en un comunicado publicado el viernes que los agentes de IA diseñados para código que operan dentro de flujos de trabajo CI/CD pueden crear nuevos riesgos de seguridad, dado que estos entornos suelen tener acceso a claves API, credenciales en la nube y otra información sensible.
Ataques de inyección de prompts en repositorios públicos
Según explican desde Microsoft, iniciaron esta investigación tras observar intentos de inyección de prompts en repositorios públicos que utilizaban flujos de trabajo de GitHub asistidos por IA de múltiples proveedores. En estos casos, contenido de issues o pull requests controlado por atacantes era procesado por el agente de IA, lo que podría influir en el uso de sus herramientas.
Los ataques de inyección de prompts se han consolidado como una de las principales amenazas de seguridad para los agentes de IA. En este tipo de ataque, un actor malicioso oculta instrucciones en contenido aparentemente legítimo —correos electrónicos, documentos, sitios web o comentarios de código— haciendo que el sistema de IA siga esas instrucciones en lugar de las del usuario real.
Cómo funcionaba la vulnerabilidad en Claude Code
Claude Code es el agente de IA de Anthropic para tareas de desarrollo de software, lanzado en octubre. La herramienta ya había sido objeto de escrutinio en marzo, cuando Anthropic filtró accidentalmente más de 500.000 líneas de su código fuente, exponiendo detalles de su arquitectura interna.
Según Microsoft, los atacantes podían utilizar ataques de inyección de prompts ocultos en issues, pull requests o comentarios de GitHub para manipular a Claude Code y lograr que accediese a archivos que contenían credenciales sensibles.
Para probar la vulnerabilidad, Microsoft creó un flujo de trabajo en GitHub y disfrazó instrucciones maliciosas detrás de contenido alojado en un dominio controlado por sus investigadores. Esto les permitió sortear las protecciones de seguridad de Claude.
«Para eludir los mecanismos de seguridad de Sonnet, ocultamos la carga útil de shell detrás de una respuesta desde nuestro dominio controlado», señala Microsoft.
El ataque de inyección de prompts engañó a Claude para que leyera credenciales sensibles y las alterara, evadiendo tanto las salvaguardas de Claude como las herramientas de escaneo de secretos de GitHub. Microsoft indica que un atacante podría entonces reconstruir la credencial y exfiltrarla a través de comentarios en issues, registros de flujo de trabajo, solicitudes web o comandos de shell.
Parche desplegado en mayo
Anthropic corrigió la vulnerabilidad el 5 de mayo con la versión 2.1.128 de Claude Code, después de que Microsoft divulgara el fallo a través de HackerOne el 29 de abril.
A pesar de múltiples capas de controles de seguridad integrados, Microsoft descubrió que un atacante decidido podría potencialmente manipular un agente de IA para exponer información sensible.
«Estamos entrando en una era donde el lenguaje natural es código ejecutable, y las entradas no confiables como los issues de GitHub deben tratarse como hostiles por defecto», advierte Microsoft. «Un único comentario cuidadosamente elaborado, combinado con un límite de confianza mal entendido, es todo lo que se necesita para obtener credenciales de producción.»
Este caso subraya los riesgos emergentes asociados a la integración de agentes de IA en entornos de desarrollo de software, donde el acceso privilegiado y la automatización pueden amplificar el impacto de vulnerabilidades de seguridad novedosas.
Fuente: Decrypt · Esta información ha sido elaborada por la redacción de Criptonews con apoyo de herramientas editoriales automatizadas.