Microsoft เปิดเผยช่องโหว่ Claude Code ที่อนุญาตให้ขโมยข้อมูลรับรอง (credential theft)

นักวิจัยของ Microsoft เปิดเผยช่องโหว่ใน GitHub Action ของ Claude Code ของ Anthropic ที่ทำให้อาชญากรสามารถเปิดเผยข้อมูลรับรอง (credentials) ผ่านการโจมตีแบบ prompt injection โดย Anthropic ได้แก้ไขจุดบกพร่องดังกล่าวเมื่อวันที่ 5 พฤษภาคม Microsoft เปิดเผยปัญหาผ่าน HackerOne เมื่อวันที่ 29 เมษายน และเผยแพร่รายละเอียดในบล็อกโพสต์เมื่อวันศุกร์ ช่องโหว่นี้เกิดจากการที่เอเจนต์โค้ดดิ้งของ AI ประมวลผลคำสั่งที่เป็นอันตรายซึ่งซ่อนอยู่ใน GitHub issues, pull requests หรือคอมเมนต์ Microsoft เริ่มการวิจัยหลังจากสังเกตเห็นความพยายามทำ prompt injection ในที่เก็บสาธารณะโดยใช้เวิร์กโฟลว์ GitHub ที่ช่วยด้วย AI ซึ่งเนื้อหาที่ผู้โจมตีควบคุมสามารถมีอิทธิพลต่อการใช้งานเครื่องมือ (tool use) ของเอเจนต์ AI การเปิดเผยนี้ชี้ให้เห็นความเสี่ยงด้านความปลอดภัยที่เกิดจากเอเจนต์โค้ดดิ้งของ AI ที่รันอยู่ภายในเวิร์กโฟลว์ CI/CD ซึ่งมักมีการเข้าถึง API keys, ข้อมูลรับรองคลาวด์ และข้อมูลอ่อนไหวอื่นๆ

นักวิจัยของ Microsoft ระบุช่องทางโจมตี Prompt Injection

Microsoft ระบุในบล็อกโพสต์ว่า การวิจัยเริ่มต้นหลังจากสังเกตเห็นความพยายามทำ prompt injection ในที่เก็บสาธารณะโดยใช้เวิร์กโฟลว์ GitHub ที่ช่วยด้วย AI จากหลายผู้ให้บริการ วิธีการโจมตีอาศัยเนื้อหาที่ผู้โจมตีควบคุมซึ่งอยู่ใน issue หรือ pull request ที่ถูกประมวลผลโดยเอเจนต์ AI และสามารถมีอิทธิพลต่อการใช้เครื่องมือของมัน บน GitHub pull request ช่วยให้นักพัฒนาสามารถเสนอการเปลี่ยนแปลงในโค้ดรีโพสิทอรี และให้มีการตรวจทานก่อนที่จะได้รับการอนุมัติและรวมเข้ากับโค้ดหลัก ตามที่ Microsoft ระบุ ผู้โจมตีสามารถใช้การโจมตีแบบ prompt injection ที่ซ่อนอยู่ใน GitHub issues, pull requests หรือคอมเมนต์ เพื่อบังคับให้ Claude Code เข้าถึงไฟล์ที่มีข้อมูลรับรองที่ละเอียดอ่อน Claude Code คือเอเจนต์โค้ดดิ้งด้วย AI ของ Anthropic สำหรับงานพัฒนาซอฟต์แวร์ ซึ่งเปิดตัวในเดือนตุลาคม

Microsoft ทดสอบช่องโหว่ด้วยโดเมนที่ควบคุม

Microsoft สร้าง GitHub workflow และซ่อนคำสั่งที่เป็นอันตรายไว้หลังเนื้อหาที่โฮสต์บนโดเมนที่บริษัทเป็นผู้ควบคุมเพื่อทดสอบช่องโหว่นั้น แนวทางดังกล่าวทำให้นักวิจัยสามารถหลีกเลี่ยงการป้องกันด้านความปลอดภัยของ Claude ได้ เคล็ดลับการโจมตีแบบ prompt injection ทำให้ Claude ถูกหลอกให้อ่านข้อมูลรับรองที่ละเอียดอ่อนและแก้ไขเพื่อหลบเลี่ยงทั้งมาตรการป้องกันของ Claude และเครื่องมือสแกนความลับ (secret-scanning) ของ GitHub จากนั้น Microsoft ระบุว่า ผู้โจมตีสามารถสร้างข้อมูลรับรอง (credential) ขึ้นใหม่ และนำข้อมูลออก (exfiltrate) ผ่านคอมเมนต์ใน issue, บันทึกของ workflow, คำขอเว็บ หรือคำสั่งเชลล์ Microsoft เขียนว่าเพื่อหลีกเลี่ยงกลไกความปลอดภัยในการปฏิเสธของ Sonnet ทางบริษัทได้ซ่อน payload ของเชลล์ไว้หลังการตอบกลับจากโดเมนที่ตนควบคุม นอกจากนี้ Microsoft ยังเปิดให้ทริกเกอร์ workflow โดยผู้ใช้ที่ไม่มีสิทธิ์ 'write' เพื่อให้แน่ใจว่ามาตรการบรรเทา (mitigations) ที่อยู่ในตัวแปรสภาพแวดล้อมของ Anthropic ยังทำงานอยู่ระหว่างการทดสอบ

Anthropic แก้ไข Claude Code เวอร์ชัน 2.1.128 เมื่อวันที่ 5 พฤษภาคม

Anthropic ได้แก้ไขช่องโหว่เมื่อวันที่ 5 พฤษภาคม ด้วย Claude Code เวอร์ชัน 2.1.128 หลังจาก Microsoft เปิดเผยช่องโหว่ดังกล่าวผ่าน HackerOne เมื่อวันที่ 29 เมษายน เครื่องมือนี้ถูกจับตามองในเดือนมีนาคม หลังจาก Anthropic เผลอเปิดเผยซอร์สโค้ดมากกว่า 500,000 บรรทัด ซึ่งเปิดเผยรายละเอียดเกี่ยวกับสถาปัตยกรรมภายใน และทำให้เกิดการวิเคราะห์อย่างกว้างขวางโดยนักวิจัยและนักพัฒนา แม้จะมีการควบคุมความปลอดภัยในตัวหลายชั้น แต่ Microsoft พบว่า ผู้โจมตีที่มุ่งมั่นอาจสามารถชักจูงเอเจนต์ AI ให้เปิดเผยข้อมูลที่ละเอียดอ่อน

Microsoft เตือนฟังก์ชันภาษาธรรมชาติว่าเป็นโค้ดที่รันได้

Microsoft ระบุในบล็อกโพสต์ว่า อุตสาหกรรมกำลังเข้าสู่ยุคที่ภาษาธรรมชาติคือโค้ดที่สามารถนำไปรันได้ และอินพุตที่ไม่น่าเชื่อถืออย่าง GitHub issues ต้องถูกมองว่าเป็นสิ่งที่เป็นอันตรายโดยค่าเริ่มต้น บริษัทเขียนว่า เพียงคอมเมนต์เดียวที่ออกแบบมาอย่างพิถีพิถัน ผสานกับเส้นแบ่งความเชื่อถือที่ถูกเข้าใจผิด ก็เพียงพอแล้วที่จะทำให้หลุดไปพร้อมกับข้อมูลรับรองสำหรับการใช้งานจริง (production credentials) รายงานนี้มีขึ้นในช่วงที่การโจมตีแบบ prompt injection กำลังกลายเป็นหนึ่งในภัยคุกคามด้านความปลอดภัยที่ใหญ่ที่สุดที่เผชิญกับเอเจนต์ AI ในการโจมตีแบบ prompt injection ผู้โจมตีจะซ่อนคำสั่งไว้ในเนื้อหา เช่น อีเมล เอกสาร เว็บไซต์ หรือคอมเมนต์โค้ด ทำให้ระบบ AI ทำตามคำสั่งเหล่านั้นแทนคำสั่งของผู้ใช้

FAQ

Microsoft พบช่องโหว่อะไรใน Claude Code?

นักวิจัยของ Microsoft พบว่า GitHub Action ของ Claude Code ของ Anthropic สามารถถูกจัดการผ่านการโจมตีแบบ prompt injection ที่ซ่อนอยู่ใน GitHub issues, pull requests หรือคอมเมนต์ ทำให้ผู้โจมตีสามารถเปิดเผยข้อมูลรับรองที่เก็บไว้ในไพพ์ไลน์การพัฒนาซอฟต์แวร์ได้

Anthropic แก้ไขช่องโหว่ของ Claude Code เมื่อใด?

Anthropic ได้แก้ไขช่องโหว่เมื่อวันที่ 5 พฤษภาคม ด้วย Claude Code เวอร์ชัน 2.1.128 หลังจาก Microsoft เปิดเผยปัญหาผ่าน HackerOne เมื่อวันที่ 29 เมษายน

Microsoft ทดสอบช่องโหว่ของ Claude Code อย่างไร?

Microsoft สร้าง GitHub workflow และซ่อนคำสั่งที่เป็นอันตรายไว้หลังเนื้อหาที่โฮสต์บนโดเมนที่บริษัทเป็นผู้ควบคุม ทำให้นักวิจัยสามารถหลบเลี่ยงการป้องกันด้านความปลอดภัยของ Claude และหลอกให้เอเจนต์ AI อ่านและแก้ไขข้อมูลรับรองที่ละเอียดอ่อน