📰 Informação fresquinha chegando para você!
Sua opinião é importante: leia e participe!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Um pesquisador de segurança encontrou uma falha no Claude Code GitHub Action da Anthropic que permitia que um invasor assumisse o controle de repositórios públicos vulneráveis que o executavam, com nada mais do que um único problema aberto no GitHub. Como o próprio repositório de ações da Anthropic usava o mesmo fluxo de trabalho, um ataque funcional poderia ter empurrado código malicioso para a própria ação e para os projetos downstream que o extraem.
RyotaK da GMO Flatt Security relatou o desvio central para a Anthropic em janeiro, e a Anthropic o corrigiu em quatro dias, com maior endurecimento durante a primavera; as correções estão em claude-code-action v1.0.94. A Anthropic avaliou os problemas como 7,8 no CVSS v4.0 e pagou uma recompensa por bugs.
Claude Code GitHub Actions coloca Claude em pipelines de CI/CD para fazer triagem de problemas, colocar rótulos, revisar solicitações pull ou executar comandos de barra. Por padrão, o fluxo de trabalho obtém acesso de leitura e gravação ao código, problemas, pull requests, discussões e arquivos de fluxo de trabalho de um repositório. Como essas permissões são amplas, a ação deve ser exigente quanto a quem pode acioná-la: somente usuários com acesso de gravação.
A verificação do gatilho tinha um buraco. Ele acenou para qualquer ator cujo nome terminasse em [bot], presumindo que os aplicativos GitHub são itens confiáveis instalados pelos administradores. O problema é que qualquer pessoa pode registrar um aplicativo GitHub, instalá-lo em um repositório de sua propriedade e usar seu token para abrir um problema ou solicitação pull em qualquer repositório público. A ação viu “um bot” e deixou passar o conteúdo do invasor. O modo Tag teve uma verificação extra para confirmar que o ator era um ser humano real; o modo agente não funcionou, o que o deixou aberto.
A partir daí, o invasor recorre à injeção indireta de prompt, o truque de inserir instruções dentro do conteúdo que uma IA lê para que o modelo as siga em vez de sua tarefa real. RyotaK escreveu um problema cujo corpo parecia uma mensagem de erro, então refinou o prompt até que Claude se “recuperasse” executando os comandos enterrados nele. O alvo é /proc/self/environ, o arquivo Linux que contém as variáveis de ambiente de um processo, incluindo segredos. Claude Code bloqueia leituras ingênuas, mas RyotaK contorna a guarda de qualquer maneira e faz com que Claude escreva os valores de volta no problema, onde o invasor pode agarrá-los.
O verdadeiro prêmio nessas variáveis é o par de credenciais que o GitHub Actions usa para solicitar um token OIDC, um token assinado que prova “Estou executando este fluxo de trabalho neste repositório”. Claude Code negocia esse token com o back-end da Anthropic por um token de instalação do aplicativo Claude GitHub com acesso de gravação. Roube essas credenciais, reproduza a troca e você terá acesso de gravação ao código, problemas e fluxos de trabalho do alvo. Mire no próprio repositório claude-code-action e você poderá envenenar a ação que os projetos downstream realizam.
RyotaK também sinalizou uma rota mais suave que ignorou totalmente o truque do bot. O exemplo de fluxo de trabalho de triagem de problemas da própria Anthropic fornecido com permitido_non_write_users: "*", que permite que qualquer pessoa acione-o, uma configuração que os documentos da Anthropic já sinalizam como arriscada. Pior ainda, Claude estava postando resumos de tarefas no painel de resumo visível publicamente da execução do fluxo de trabalho, uma forma pronta de vazar dados. Muitos repositórios copiaram esse exemplo e herdaram o buraco.
Há também um caminho para um invasor que pode editar problemas, mas não pode acionar Claude por conta própria: editar o problema de um usuário confiável depois de disparar o fluxo de trabalho, mas antes que Claude o leia e a carga útil chegue como entrada "confiável".
O que fazer? Atualize para claude-code-action v1.0.94 ou posterior. Em seguida, audite qualquer fluxo de trabalho que permita que usuários sem acesso de gravação ou bots acionem Claude: se ele estiver recebendo informações não confiáveis, não alimente nenhum segredo além da chave da API Anthropic e GITHUB_TOKEN e remova ferramentas e permissões que podem ser usadas para exfiltração.
Nada disso é teórico. A mesma configuração, uma triagem de problemas de IA mais permissões amplas e injeção imediata, já causou um verdadeiro impacto na cadeia de suprimentos:
Em fevereiro, um título de problema injetado prontamente contra o fluxo de trabalho de triagem de ação de código claude de Cline permitiu que invasores roubassem um token de publicação npm e enviassem um cline@2.3.0 não autorizado. A versão desonesta apenas forçou a instalação de um agente de IA separado e não malicioso e foi retirada cerca de oito horas depois, mas a mesma cadeia poderia facilmente ter enviado malware real para todos que atualizaram.
O bot autônomo "HackerBot-Claw" passou o final de fevereiro investigando configurações incorretas do GitHub Actions na Microsoft, Datadog, projetos CNCF e outros, embora quando tentou injetar um revisor baseado em Claude por meio de um arquivo de configuração envenenado, Claude percebeu e recusou.
Não há sinal público desse caminho exato, aquele que envenena a própria ação da Antrópico, foi usado contra um alvo vivo; RyotaK provou isso apenas em seus próprios repositórios de teste, e ele tem o cuidado de separar isso das variantes acima que foram exploradas.
RyotaK diz que já relatou cerca de 50 maneiras distintas de contornar o sistema de permissão de Claude Code e executar c
RyotaK da GMO Flatt Security relatou o desvio central para a Anthropic em janeiro, e a Anthropic o corrigiu em quatro dias, com maior endurecimento durante a primavera; as correções estão em claude-code-action v1.0.94. A Anthropic avaliou os problemas como 7,8 no CVSS v4.0 e pagou uma recompensa por bugs.
Claude Code GitHub Actions coloca Claude em pipelines de CI/CD para fazer triagem de problemas, colocar rótulos, revisar solicitações pull ou executar comandos de barra. Por padrão, o fluxo de trabalho obtém acesso de leitura e gravação ao código, problemas, pull requests, discussões e arquivos de fluxo de trabalho de um repositório. Como essas permissões são amplas, a ação deve ser exigente quanto a quem pode acioná-la: somente usuários com acesso de gravação.
A verificação do gatilho tinha um buraco. Ele acenou para qualquer ator cujo nome terminasse em [bot], presumindo que os aplicativos GitHub são itens confiáveis instalados pelos administradores. O problema é que qualquer pessoa pode registrar um aplicativo GitHub, instalá-lo em um repositório de sua propriedade e usar seu token para abrir um problema ou solicitação pull em qualquer repositório público. A ação viu “um bot” e deixou passar o conteúdo do invasor. O modo Tag teve uma verificação extra para confirmar que o ator era um ser humano real; o modo agente não funcionou, o que o deixou aberto.
A partir daí, o invasor recorre à injeção indireta de prompt, o truque de inserir instruções dentro do conteúdo que uma IA lê para que o modelo as siga em vez de sua tarefa real. RyotaK escreveu um problema cujo corpo parecia uma mensagem de erro, então refinou o prompt até que Claude se “recuperasse” executando os comandos enterrados nele. O alvo é /proc/self/environ, o arquivo Linux que contém as variáveis de ambiente de um processo, incluindo segredos. Claude Code bloqueia leituras ingênuas, mas RyotaK contorna a guarda de qualquer maneira e faz com que Claude escreva os valores de volta no problema, onde o invasor pode agarrá-los.
O verdadeiro prêmio nessas variáveis é o par de credenciais que o GitHub Actions usa para solicitar um token OIDC, um token assinado que prova “Estou executando este fluxo de trabalho neste repositório”. Claude Code negocia esse token com o back-end da Anthropic por um token de instalação do aplicativo Claude GitHub com acesso de gravação. Roube essas credenciais, reproduza a troca e você terá acesso de gravação ao código, problemas e fluxos de trabalho do alvo. Mire no próprio repositório claude-code-action e você poderá envenenar a ação que os projetos downstream realizam.
RyotaK também sinalizou uma rota mais suave que ignorou totalmente o truque do bot. O exemplo de fluxo de trabalho de triagem de problemas da própria Anthropic fornecido com permitido_non_write_users: "*", que permite que qualquer pessoa acione-o, uma configuração que os documentos da Anthropic já sinalizam como arriscada. Pior ainda, Claude estava postando resumos de tarefas no painel de resumo visível publicamente da execução do fluxo de trabalho, uma forma pronta de vazar dados. Muitos repositórios copiaram esse exemplo e herdaram o buraco.
Há também um caminho para um invasor que pode editar problemas, mas não pode acionar Claude por conta própria: editar o problema de um usuário confiável depois de disparar o fluxo de trabalho, mas antes que Claude o leia e a carga útil chegue como entrada "confiável".
O que fazer? Atualize para claude-code-action v1.0.94 ou posterior. Em seguida, audite qualquer fluxo de trabalho que permita que usuários sem acesso de gravação ou bots acionem Claude: se ele estiver recebendo informações não confiáveis, não alimente nenhum segredo além da chave da API Anthropic e GITHUB_TOKEN e remova ferramentas e permissões que podem ser usadas para exfiltração.
Nada disso é teórico. A mesma configuração, uma triagem de problemas de IA mais permissões amplas e injeção imediata, já causou um verdadeiro impacto na cadeia de suprimentos:
Em fevereiro, um título de problema injetado prontamente contra o fluxo de trabalho de triagem de ação de código claude de Cline permitiu que invasores roubassem um token de publicação npm e enviassem um cline@2.3.0 não autorizado. A versão desonesta apenas forçou a instalação de um agente de IA separado e não malicioso e foi retirada cerca de oito horas depois, mas a mesma cadeia poderia facilmente ter enviado malware real para todos que atualizaram.
O bot autônomo "HackerBot-Claw" passou o final de fevereiro investigando configurações incorretas do GitHub Actions na Microsoft, Datadog, projetos CNCF e outros, embora quando tentou injetar um revisor baseado em Claude por meio de um arquivo de configuração envenenado, Claude percebeu e recusou.
Não há sinal público desse caminho exato, aquele que envenena a própria ação da Antrópico, foi usado contra um alvo vivo; RyotaK provou isso apenas em seus próprios repositórios de teste, e ele tem o cuidado de separar isso das variantes acima que foram exploradas.
RyotaK diz que já relatou cerca de 50 maneiras distintas de contornar o sistema de permissão de Claude Code e executar c
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #falha #de #ação #do #github #do #código #claude #permite #que #um #problema #malicioso #sequestre #repositórios
🔔 Siga-nos para não perder nenhuma atualização!
Postar um comentário