## Descubierta una Falla Crítica en Claude Code GitHub Action  Un investigador de seguridad ha identificado una vulnerabilidad significativa dentro de la **Claude Code GitHub Action** de **Anthropic**, una herramienta diseñada para integrar el modelo de IA **Claude** en pipelines de CI/CD para tareas como la clasificación de incidencias y la revisión de pull requests. La falla, de haber sido explotada, podría haber permitido a los atacantes obtener control sobre repositorios públicos vulnerables, incluido el propio código fuente de la acción, con solo una **GitHub** issue abierta. ## El Vector de Ataque: Elusión de Seguridad de Bots e Inyección de Prompts El núcleo de la vulnerabilidad residía en cómo la **Claude Code GitHub Action** validaba los eventos desencadenantes. Si bien estaba diseñada para restringir los desencadenantes a usuarios con acceso de escritura, una laguna crítica permitía que cualquier actor cuyo nombre terminara en `[bot]` eludiera esta verificación. Esta suposición resultó ser errónea, ya que cualquiera puede registrar una **GitHub App** y usar su token para abrir issues o pull requests en repositorios públicos, haciéndose pasar efectivamente por un bot de confianza. Una vez autenticado, el atacante emplearía una técnica de inyección indirecta de prompts. Esto implica incrustar instrucciones maliciosas dentro de contenido aparentemente benigno (como un mensaje de error en una **GitHub** issue) que el modelo de IA **Claude** procesaría. **RyotaK** de **GMO Flatt Security**, el investigador que descubrió la falla, demostró cómo engañar a **Claude** para que "recuperara" ejecutando comandos ocultos en el prompt. Esto permitió la exfiltración de variables de entorno, incluidas credenciales sensibles utilizadas por **GitHub Actions** para solicitar un **OIDC token**. ## De Credenciales a Toma de Control de Repositorios Las credenciales robadas de **GitHub Actions**, particularmente el mecanismo de intercambio del **OIDC token**, eran el premio final. Al reproducir este intercambio, un atacante podría obtener un token de instalación de la **Claude GitHub App** con acceso completo de escritura al código, issues y flujos de trabajo del repositorio objetivo. Esto presentaba un grave riesgo en la cadena de suministro: atacar el propio repositorio `claude-code-action` podría haber permitido a los atacantes inyectar código malicioso directamente en la acción, que luego sería descargado por todos los proyectos posteriores. ## Debilidades Adicionales e Impacto en el Mundo Real  **RyotaK** también destacó otras vulnerabilidades, incluido el flujo de trabajo de ejemplo de clasificación de incidencias de **Anthropic** que venía con `allowed_non_write_users: "*"`. Esta configuración, explícitamente marcada como riesgosa en la documentación de **Anthropic**, permitía a cualquiera desencadenar el flujo de trabajo. Además, se observó que **Claude** publicaba resúmenes de tareas en paneles de ejecución de flujos de trabajo públicamente visibles, ofreciendo un canal listo para la exfiltración de datos. Muchos repositorios que copiaron este ejemplo heredaron estos riesgos. Si bien el vector de ataque específico contra la propia acción de **Anthropic** se demostró solo en entornos de prueba, ya han ocurrido ataques similares en la cadena de suministro impulsados por IA: * En febrero, un título de issue con prompt inyectado contra el flujo de trabajo de clasificación de `claude-code-action` de **Cline** provocó el robo de un token de publicación npm. Esto resultó en la publicación de una versión no autorizada de `[email protected]`, aunque la versión no deseada fue eliminada rápidamente. * Se observó que el bot autónomo **HackerBot-Claw** a finales de febrero sondeaba configuraciones erróneas de **GitHub Actions** en varias organizaciones, incluidos proyectos de **Microsoft**, **Datadog** y **CNCF**. ## La Corrección y Recomendaciones **RyotaK** de **GMO Flatt Security** informó de la elusión a **Anthropic** en enero. **Anthropic** abordó el problema de inmediato, corrigiéndolo en cuatro días e implementando un endurecimiento adicional durante la primavera. La versión corregida, `claude-code-action v1.0.94`, ya está disponible. **Anthropic** calificó la vulnerabilidad con un 7.8 bajo **CVSS v4.0** y otorgó una recompensa por errores. Para los usuarios de **Claude Code GitHub Action**, se recomienda tomar medidas inmediatas: * Actualizar a `claude-code-action v1.0.94` o posterior. * Auditar cualquier flujo de trabajo que permita a usuarios sin acceso de escritura, o bots, desencadenar **Claude**. * Si se procesa entrada no confiable, asegurarse de que no se alimenten al flujo de trabajo secretos más allá de la clave **Anthropic API** y `GITHUB_TOKEN`. * Eliminar cualquier herramienta y permiso que pueda ser explotado para la exfiltración de datos. **RyotaK** continúa identificando numerosas fallas de inyección de prompts en agentes de codificación de IA, lo que subraya que el desafío de la inyección de prompts sigue sin resolverse en gran medida. Un agente de IA, cuando está equipado con herramientas y tokens reales, puede ser obligado a operar hasta el máximo de sus permisos otorgados.