## Falha Crítica na Claude Code GitHub Action Descoberta  Um pesquisador de segurança identificou uma vulnerabilidade significativa na **Claude Code GitHub Action** da **Anthropic**, uma ferramenta projetada para integrar o modelo de IA **Claude** em pipelines de CI/CD para tarefas como triagem de issues e revisões de pull requests. A falha, se explorada, poderia ter permitido que atacantes ganhassem controle sobre repositórios públicos vulneráveis, incluindo o próprio código-fonte da action, com apenas uma única issue aberta no **GitHub**. ## O Vetor de Ataque: Bypass na Segurança de Bots e Injeção de Prompt O cerne da vulnerabilidade residia em como a **Claude Code GitHub Action** validava os eventos de gatilho. Embora fosse destinada a restringir gatilhos a usuários com acesso de escrita, uma brecha crítica permitia que qualquer ator cujo nome terminasse em `[bot]` pudesse contornar essa verificação. Essa suposição se mostrou falha, pois qualquer pessoa pode registrar um **GitHub App** e usar seu token para abrir issues ou pull requests em repositórios públicos, efetivamente se passando por um bot confiável. Uma vez autenticado, o atacante empregaria uma técnica de injeção indireta de prompt. Isso envolve incorporar instruções maliciosas em conteúdo aparentemente benigno (como uma mensagem de erro em uma issue do **GitHub**) que o modelo de IA **Claude** processaria. **RyotaK**, da **GMO Flatt Security**, o pesquisador que descobriu a falha, demonstrou como enganar o **Claude** para "recuperar-se" executando comandos ocultos no prompt. Isso permitiu a exfiltração de variáveis de ambiente, incluindo credenciais sensíveis usadas pelo **GitHub Actions** para solicitar um token **OIDC**. ## De Credenciais a Tomada de Controle de Repositório As credenciais roubadas do **GitHub Actions**, particularmente o mecanismo de troca de token **OIDC**, eram o prêmio final. Ao reproduzir essa troca, um atacante poderia obter um token de instalação do **Claude GitHub App** com acesso total de escrita ao código, issues e workflows do repositório alvo. Isso representava um sério risco na cadeia de suprimentos: atacar o próprio repositório `claude-code-action` poderia ter permitido que atacantes injetassem código malicioso diretamente na action, que seria então baixado por todos os projetos downstream. ## Fraquezas Adicionais e Impacto no Mundo Real  **RyotaK** também destacou outras vulnerabilidades, incluindo o workflow de exemplo de triagem de issues da **Anthropic** que vinha com `allowed_non_write_users: "*"`. Essa configuração, explicitamente marcada como arriscada na documentação da **Anthropic**, permitia que qualquer pessoa acionasse o workflow. Além disso, o **Claude** foi observado postando resumos de tarefas em painéis de execução de workflow publicamente visíveis, oferecendo um canal pronto para exfiltração de dados. Muitos repositórios que copiaram esse exemplo herdaram esses riscos. Embora o vetor de ataque específico contra a action da **Anthropic** tenha sido comprovado apenas em ambientes de teste, ataques semelhantes de cadeia de suprimentos impulsionados por IA já ocorreram: * Em fevereiro, um título de issue com prompt injetado contra o workflow de triagem `claude-code-action` da **Cline** levou ao roubo de um token de publicação npm. Isso resultou no push de uma versão não autorizada de `[email protected]`, embora a versão maliciosa tenha sido rapidamente removida. * O bot autônomo **HackerBot-Claw** foi observado no final de fevereiro sondando configurações incorretas do **GitHub Actions** em várias organizações, incluindo projetos da **Microsoft**, **Datadog** e **CNCF**. ## A Correção e Recomendações **RyotaK**, da **GMO Flatt Security**, relatou o bypass à **Anthropic** em janeiro. A **Anthropic** abordou o problema prontamente, corrigindo-o em quatro dias e implementando um endurecimento adicional ao longo da primavera. A versão corrigida, `claude-code-action v1.0.94`, já está disponível. A **Anthropic** classificou a vulnerabilidade com 7.8 sob o **CVSS v4.0** e concedeu uma recompensa por bug. Para usuários da **Claude Code GitHub Action**, ações imediatas são recomendadas: * Atualize para `claude-code-action v1.0.94` ou posterior. * Audite quaisquer workflows que permitam que usuários sem acesso de escrita, ou bots, acionem o **Claude**. * Se entradas não confiáveis forem processadas, certifique-se de que nenhum segredo além da chave **API da Anthropic** e `GITHUB_TOKEN` seja alimentado ao workflow. * Remova quaisquer ferramentas e permissões que possam ser exploradas para exfiltração de dados. **RyotaK** continua a identificar inúmeras falhas de injeção de prompt em agentes de codificação de IA, ressaltando que o desafio da injeção de prompt permanece em grande parte não resolvido. Um agente de IA, quando equipado com ferramentas e tokens reais, pode ser compelido a operar na extensão total de suas permissões concedidas.