## Claude Code GitHub Actionにおける重大な欠陥が明らかに  セキュリティ研究者が、**Anthropic**の**Claude Code GitHub Action**内に重大な脆弱性を特定しました。このツールは、**Claude** AIモデルをCI/CDパイプラインに統合し、課題のトリアージやプルリクエストのレビューなどのタスクを実行するために設計されています。この欠陥が悪用された場合、攻撃者は単一の**GitHub**課題を開くだけで、アクション自体のソースコードを含む脆弱な公開リポジトリを制御できるようになる可能性がありました。 ## 攻撃ベクトル：ボットセキュリティとプロンプトインジェクションのバイパス **Claude Code GitHub Action**のトリガーイベント検証方法が、この脆弱性の核心でした。本来は書き込み権限を持つユーザーにトリガーを制限する意図でしたが、`[bot]`で終わる名前を持つ任意の攻撃者がこのチェックをバイパスできる重大な抜け穴がありました。この前提は誤りであることが判明しました。なぜなら、誰でも**GitHub App**を登録し、そのトークンを使用して公開リポジトリに課題やプルリクエストを開くことで、事実上信頼されたボットになりすますことができたからです。 認証後、攻撃者は間接的なプロンプトインジェクション技術を使用します。これは、**Claude** AIモデルが処理する、一見無害なコンテンツ（**GitHub**課題のエラーメッセージなど）内に悪意のある指示を埋め込むことを含みます。この脆弱性を発見した**GMO Flatt Security**の**RyotaK**氏は、**Claude**を、プロンプトに埋め込まれたコマンドを実行して「回復」させるように騙す方法を実演しました。これにより、**GitHub Actions**が**OIDC token**を要求するために使用する機密認証情報を含む環境変数の漏洩が可能になりました。 ## 認証情報からリポジトリ乗っ取りへ 盗まれた**GitHub Actions**の認証情報、特に**OIDC token**の交換メカニズムは、究極の標的でした。この交換をリプレイすることで、攻撃者は対象リポジトリのコード、課題、ワークフローに対する完全な書き込み権限を持つ**Claude GitHub App**のインストールトークンを取得できました。これは深刻なサプライチェーンリスクをもたらしました。`claude-code-action`リポジトリ自体を標的にすることで、攻撃者はアクションに悪意のあるコードを直接注入できるようになり、それがすべてのダウンストリームプロジェクトによってプルされることになります。 ## 追加の弱点と現実世界への影響  **RyotaK**氏は、**Anthropic**自身の例として提供されている課題トリアージワークフローが`allowed_non_write_users: "*"`と共に配布されていたことも指摘しました。この設定は、**Anthropic**のドキュメントでリスクが高いと明示的にフラグが立てられていましたが、誰でもワークフローをトリガーすることを許可していました。さらに、**Claude**は公開されているワークフロー実行パネルにタスクの要約を投稿することが観察されており、データ漏洩のための容易なチャネルを提供していました。この例をコピーした多くのリポジトリがこれらのリスクを継承していました。 **Anthropic**自身の**action**に対する特定の攻撃ベクトルはテスト環境でのみ証明されましたが、同様のAI駆動型サプライチェーン攻撃はすでに発生しています。 * 2月には、**Cline**の`claude-code-action`トリアージワークフローに対するプロンプトインジェクションされた課題タイトルが、npm発行トークンの盗難につながりました。これにより、不正な`[email protected]`がプッシュされましたが、不正なバージョンはすぐに削除されました。 * 自律型ボット**HackerBot-Claw**は、2月下旬に**Microsoft**、**Datadog**、**CNCF**プロジェクトを含むさまざまな組織の**GitHub Actions**の設定ミスを調査しているのが観察されました。 ## 修正と推奨事項 **GMO Flatt Security**の**RyotaK**氏は1月にこのバイパスを**Anthropic**に報告しました。**Anthropic**は迅速に対応し、4日以内に問題を修正し、春にかけてさらなる強化を実施しました。修正されたバージョンである`claude-code-action v1.0.94`が現在利用可能です。**Anthropic**はこの脆弱性を**CVSS v4.0**で7.8と評価し、バグバウンティを授与しました。 **Claude Code GitHub Action**のユーザーには、直ちに行動することが推奨されます。 * `claude-code-action v1.0.94`以降にアップデートしてください。 * 書き込み権限を持たないユーザー、またはボットが**Claude**をトリガーすることを許可しているワークフローを監査してください。 * 信頼されていない入力が処理される場合は、**Anthropic API key**と`GITHUB_TOKEN`以外の秘密情報がワークフローに渡されないことを確認してください。 * データ漏洩に悪用される可能性のあるツールや権限を削除してください。 **RyotaK**氏は、AIコーディングエージェントにおける多数のプロンプトインジェクションの欠陥を引き続き特定しており、プロンプトインジェクションの課題は依然としてほとんど解決されていないことを強調しています。AIエージェントは、実際のツールとトークンを装備した場合、付与された権限の範囲全体で動作するように強制される可能性があります。