Peneliti Microsoft mengungkap kerentanan yang kini sudah ditambal dalam GitHub Action milik Anthropic untuk Claude Code yang memungkinkan penyerang mengekspos kredensial melalui serangan prompt injection. Microsoft mengungkap masalah tersebut lewat HackerOne pada 29 April, dan Anthropic merilis patch pada 5 Mei dengan versi Claude Code 2.1.128. Kerentanan ini dieksploitasi oleh agen AI yang berjalan di alur kerja CI/CD, di mana instruksi berbahaya yang disembunyikan dalam issue, pull request, atau komentar GitHub dapat memanipulasi AI agar mengakses informasi sensitif. Microsoft memperingatkan bahwa agen pengodean berbasis AI menciptakan risiko keamanan baru karena lingkungan pengembangan sering kali berisi kunci API, kredensial cloud, dan data sensitif lainnya.
Peneliti Microsoft Mengekspos Vektor Serangan Prompt Injection di Claude Code
Peneliti Microsoft menemukan bahwa penyerang dapat menggunakan serangan prompt injection yang disembunyikan di issue, pull request, atau komentar GitHub untuk memanipulasi Claude Code agar mengakses file yang berisi kredensial sensitif. Dalam sebuah posting blog pada Jumat, Microsoft menyatakan bahwa riset dimulai “setelah mengamati upaya prompt injection di repositori publik menggunakan workflow GitHub berbantuan AI di beberapa vendor, di mana konten issue atau [pull requests] yang dikendalikan penyerang diproses oleh agen AI dan dapat memengaruhi penggunaan tool-nya.”
Untuk menguji kerentanan tersebut, Microsoft membuat sebuah workflow GitHub dan menyamarkan instruksi berbahaya di balik konten yang dihosting pada domain yang mereka kendalikan, sehingga peneliti dapat melewati perlindungan keselamatan Claude. Trik prompt injection membuat Claude membaca kredensial sensitif dan mengubahnya untuk menghindari perlindungan Claude maupun alat pemindai rahasia GitHub. Microsoft mengatakan penyerang kemudian dapat merekonstruksi kredensial dan mengekfiltrasinya melalui komentar issue, log workflow, permintaan web, atau perintah shell.
“Untuk mengabaikan mekanisme penolakan safety Sonnet, kami menyamarkan payload shell di balik respons dari domain yang kami kendalikan,” kata Microsoft. “Kami juga mengaktifkan workflow agar dapat dipicu oleh pengguna tanpa izin ‘write’ untuk memastikan mitigasi berbasis variabel lingkungan Anthropic aktif selama pengujian kami.”
Anthropic Menambal Kerentanan pada 5 Mei Setelah Pengungkapan HackerOne
Anthropic menambal cacat tersebut pada 5 Mei dengan Claude Code versi 2.1.128 setelah Microsoft mengungkap kerentanan itu melalui HackerOne pada 29 April. Claude Code, agen pengodean AI Anthropic untuk tugas pengembangan perangkat lunak, diluncurkan pada Oktober. Alat ini mendapat sorotan pada Maret setelah Anthropic secara tidak sengaja membocorkan lebih dari 500.000 baris kode sumber, yang mengungkap detail arsitektur internalnya.
Di GitHub, sebuah pull request memungkinkan pengembang mengusulkan perubahan pada repositori kode dan mendapatkan perubahan tersebut ditinjau sebelum disetujui dan digabung. Kerentanan ini mengeksploitasi proses peninjauan tersebut dengan menyematkan instruksi berbahaya yang akan diproses oleh agen AI.
Microsoft Memperingatkan Fungsi Bahasa Alami sebagai Kode yang Dapat Dieksekusi dalam Sistem AI
Meski terdapat beberapa lapisan kontrol keamanan bawaan, Microsoft menemukan bahwa penyerang yang gigih berpotensi memanipulasi agen AI agar mengekspos informasi sensitif. “Kita memasuki era di mana bahasa alami adalah kode yang dapat dieksekusi, dan input yang tidak tepercaya seperti issue GitHub harus diperlakukan sebagai sesuatu yang bermusuhan secara default,” kata Microsoft. “Cukup satu komentar yang dikreasikan dengan cermat, ditambah batas kepercayaan yang dipahami keliru, untuk pergi dengan kredensial produksi.”
Laporan ini muncul saat serangan prompt injection telah menjadi salah satu ancaman keamanan terbesar yang dihadapi agen AI. Dalam serangan prompt injection, penyerang menyembunyikan instruksi di konten seperti email, dokumen, situs web, atau komentar kode, sehingga sistem AI mengikuti instruksi tersebut alih-alih instruksi pengguna.
FAQ
Kerentanan apa yang ditemukan Microsoft di Claude Code GitHub Action?
Peneliti Microsoft menemukan bahwa Anthropic's Claude Code GitHub Action dapat dimanipulasi melalui serangan prompt injection yang disembunyikan di issue, pull request, atau komentar GitHub. Kerentanan ini memungkinkan penyerang mengekspos kredensial yang tersimpan dalam pipeline pengembangan perangkat lunak dengan menipu agen AI agar mengakses file sensitif dan mengekfiltrasinya melalui komentar issue, log workflow, permintaan web, atau perintah shell.
Kapan Anthropic menambal kerentanan Claude Code?
Anthropic menambal kerentanan tersebut pada 5 Mei dengan Claude Code versi 2.1.128 setelah Microsoft mengungkap masalah itu melalui HackerOne pada 29 April. Patch tersebut menanggulangi vektor serangan prompt injection yang memungkinkan manipulasi agen AI dalam alur kerja CI/CD.
Mengapa agen pengodean AI rentan terhadap serangan prompt injection?
Microsoft memperingatkan bahwa agen pengodean AI yang berjalan di dalam workflow CI/CD menciptakan risiko keamanan baru karena lingkungan tersebut sering kali memiliki akses ke kunci API, kredensial cloud, dan informasi sensitif lainnya. Serangan prompt injection mengeksploitasi fakta bahwa bahasa alami dapat berfungsi sebagai kode yang dapat dieksekusi, sehingga memungkinkan penyerang menyembunyikan instruksi berbahaya di konten yang diproses oleh agen AI selama tugas peninjauan kode.
