นักวิจัยของ Microsoft เปิดเผยช่องโหว่ที่ได้รับการแก้ไขแล้วใน GitHub Action ของ Claude Code ของ Anthropic ซึ่งทำให้ผู้โจมตีสามารถขโมยข้อมูลยืนยันตัวตนได้ผ่านการโจมตีแบบ prompt injection Microsoft เปิดเผยประเด็นดังกล่าวผ่าน HackerOne เมื่อวันที่ 29 เมษายน และ Anthropic ปล่อยแพตช์เมื่อวันที่ 5 พฤษภาคมด้วย Claude Code เวอร์ชัน 2.1.128 ช่องโหว่นี้ใช้ประโยชน์จากเอเจนต์ AI ที่ทำงานในเวิร์กโฟลว์ CI/CD ซึ่งคำสั่งที่เป็นอันตรายซ่อนอยู่ใน GitHub issues, pull requests หรือคอมเมนต์อาจบิดเบือนให้ AI เข้าถึงข้อมูลอ่อนไหว Microsoft เตือนว่าเอเจนต์โค้ดดิ้งจาก AI สร้างความเสี่ยงด้านความปลอดภัยรูปแบบใหม่ เพราะสภาพแวดล้อมการพัฒนามักมีคีย์ API ข้อมูลยืนยันตัวตนบนคลาวด์ และข้อมูลอ่อนไหวอื่นๆ
นักวิจัยของ Microsoft เปิดเผยช่องทางการโจมตีแบบ prompt injection ใน Claude Code
นักวิจัยของ Microsoft พบว่า ผู้โจมตีสามารถใช้การโจมตีแบบ prompt injection ที่ซ่อนอยู่ใน GitHub issues, pull requests หรือคอมเมนต์เพื่อบิดเบือนให้ Claude Code เข้าถึงไฟล์ที่มีข้อมูลยืนยันตัวตนที่ละเอียดอ่อน ในโพสต์บล็อกเมื่อวันศุกร์ Microsoft ระบุว่าการวิจัยเริ่มต้น “หลังจากสังเกตเห็นความพยายามทำ prompt injection ในที่เก็บสาธารณะผ่านเวิร์กโฟลว์ GitHub ที่ใช้ AI ช่วยงานในหลายผู้ให้บริการ โดยเนื้อหาของ [issue หรือ pull requests] ที่ผู้โจมตีกำหนดเป็นผู้ควบคุมจะถูกประมวลผลโดยเอเจนต์ AI และอาจมีอิทธิพลต่อการใช้งานเครื่องมือของมัน”
เพื่อทดสอบช่องโหว่ Microsoft ได้สร้างเวิร์กโฟลว์ GitHub และพรางคำสั่งที่เป็นอันตรายไว้หลังเนื้อหาที่โฮสต์บนโดเมนที่ตนควบคุม ทำให้ผู้วิจัยสามารถข้ามมาตรการป้องกันความปลอดภัยของ Claude ได้ การโจมตีแบบ prompt injection ทำให้ Claude อ่านข้อมูลยืนยันตัวตนที่ละเอียดอ่อนและปรับเปลี่ยนเพื่อหลบเลี่ยงทั้งการคุ้มครองของ Claude และเครื่องมือสแกนความลับของ GitHub Microsoft ระบุว่า จากนั้นผู้โจมตีสามารถประกอบข้อมูลยืนยันตัวตนขึ้นมาใหม่และส่งออกผ่านคอมเมนต์ของ issue, บันทึกเวิร์กโฟลว์, คำขอผ่านเว็บ หรือคำสั่งเชลล์
“เพื่อหลีกเลี่ยงกลไกความปลอดภัยจากการปฏิเสธของ Sonnet เราได้ทำให้เพย์โหลดเชลล์ถูกทำให้ไม่ชัดเจนไว้หลังคำตอบจากโดเมนที่เราควบคุม” Microsoft ระบุ “เรายังเปิดให้เวิร์กโฟลว์ถูกทริกเกอร์โดยผู้ใช้ที่ไม่มีสิทธิ์ ‘write’ เพื่อให้ตัวแปรสภาพแวดล้อมของ Anthropic ที่ใช้ล้างการป้องกันทำงานอยู่ระหว่างการทดสอบของเรา”
Anthropic แพตช์ช่องโหว่เมื่อวันที่ 5 พฤษภาคม หลังเปิดเผยผ่าน HackerOne
Anthropic แพตช์ช่องโหว่นี้เมื่อวันที่ 5 พฤษภาคมด้วย Claude Code เวอร์ชัน 2.1.128 หลังจาก Microsoft เปิดเผยช่องโหว่ผ่าน HackerOne เมื่อวันที่ 29 เมษายน Claude Code ซึ่งเป็นเอเจนต์โค้ดดิ้งของ AI ของ Anthropic สำหรับงานพัฒนาซอฟต์แวร์ เปิดตัวในเดือนตุลาคม เครื่องมือนี้ได้รับความสนใจในเดือนมีนาคม หลังจาก Anthropic เผลอรั่วไล่มากกว่า 500,000 บรรทัดของซอร์สโค้ด ทำให้มีการเปิดเผยรายละเอียดเกี่ยวกับสถาปัตยกรรมภายใน
บน GitHub pull request ช่วยให้ผู้พัฒนาสามารถเสนอการเปลี่ยนแปลงในคลังโค้ด และให้มีการตรวจทานการเปลี่ยนแปลงเหล่านั้นก่อนจะได้รับการอนุมัติและรวมเข้าไป ในช่องโหว่นี้กระบวนการตรวจทานถูกใช้ประโยชน์โดยการฝังคำสั่งที่เป็นอันตราย ซึ่งเอเจนต์ AI จะประมวลผล
Microsoft เตือนฟังก์ชันภาษาธรรมชาติเป็นโค้ดที่รันได้ในระบบ AI
แม้จะมีการควบคุมความปลอดภัยในตัวหลายชั้น แต่ Microsoft พบว่า ผู้โจมตีที่ตั้งใจแน่วแน่สามารถบิดเบือนให้เอเจนต์ AI เปิดเผยข้อมูลอ่อนไหวได้ “เรากำลังเข้าสู่ยุคที่ภาษาธรรมชาติเป็นโค้ดที่รันได้ และอินพุตที่ไม่น่าเชื่อถืออย่าง GitHub issues ต้องถูกมองว่าเป็นภัยร้ายแรงโดยค่าเริ่มต้น” Microsoft ระบุ “สิ่งที่ต้องใช้ก็แค่คอมเมนต์เพียง 1 ชิ้นที่รังสรรค์อย่างรอบคอบ รวมกับขอบเขตความเชื่อที่ถูกเข้าใจผิด ก็พอแล้วที่จะทำให้ข้อมูลรับรองการใช้งานระดับโปรดักชันหลุดไป”
รายงานดังกล่าวมีขึ้นท่ามกลางการเกิดขึ้นของการโจมตีแบบ prompt injection ซึ่งกลายเป็นหนึ่งในภัยคุกคามด้านความปลอดภัยที่ใหญ่ที่สุดที่เผชิญเอเจนต์ AI ในการโจมตีแบบ prompt injection ผู้โจมตีจะซ่อนคำสั่งไว้ในเนื้อหา เช่น อีเมล เอกสาร เว็บไซต์ หรือคอมเมนต์โค้ด ทำให้ระบบ AI ทำตามคำสั่งเหล่านั้นแทนคำสั่งของผู้ใช้
FAQ
Microsoft ค้นพบช่องโหว่อะไรใน Claude Code GitHub Action?
นักวิจัยของ Microsoft พบว่า GitHub Action ของ Claude Code ของ Anthropic สามารถถูกบิดเบือนได้ผ่านการโจมตีแบบ prompt injection ที่ซ่อนอยู่ใน GitHub issues, pull requests หรือคอมเมนต์ ช่องโหว่นี้ทำให้ผู้โจมตีสามารถเปิดเผยข้อมูลยืนยันตัวตนที่เก็บไว้ในไพป์ไลน์การพัฒนาซอฟต์แวร์ โดยหลอกให้เอเจนต์ AI เข้าถึงไฟล์ที่มีข้อมูลอ่อนไหวและส่งออกข้อมูลผ่านคอมเมนต์ของ issue, บันทึกเวิร์กโฟลว์, คำขอผ่านเว็บ หรือคำสั่งเชลล์
Anthropic แพตช์ช่องโหว่ของ Claude Code เมื่อไหร่?
Anthropic แพตช์ช่องโหว่นี้เมื่อวันที่ 5 พฤษภาคมด้วย Claude Code เวอร์ชัน 2.1.128 หลังจาก Microsoft เปิดเผยปัญหาผ่าน HackerOne เมื่อวันที่ 29 เมษายน แพตช์ดังกล่าวแก้ไขช่องทางการโจมตีแบบ prompt injection ที่ทำให้สามารถบิดเบือนเอเจนต์ AI ในเวิร์กโฟลว์ CI/CD ได้
เหตุใดเอเจนต์โค้ดดิ้งจาก AI ถึงเสี่ยงต่อการโจมตีแบบ prompt injection?
Microsoft เตือนว่าเอเจนต์โค้ดดิ้งจาก AI ที่ทำงานอยู่ในเวิร์กโฟลว์ CI/CD สร้างความเสี่ยงด้านความปลอดภัยใหม่ เพราะสภาพแวดล้อมเหล่านั้นมักเข้าถึงคีย์ API ข้อมูลยืนยันตัวตนบนคลาวด์ และข้อมูลอ่อนไหวอื่นๆ การโจมตีแบบ prompt injection ใช้ประโยชน์จากข้อเท็จจริงที่ว่าภาษาธรรมชาติสามารถทำหน้าที่เป็นโค้ดที่รันได้ ทำให้ผู้โจมตีซ่อนคำสั่งที่เป็นอันตรายในเนื้อหาที่เอเจนต์ AI ประมวลผลระหว่างงานตรวจทานโค้ด
