Default
Door Remote - 06 Jun 2026
In het kort
Microsoft-onderzoekers ontdekten dat de Claude Code GitHub Action van Anthropic kon worden gemanipuleerd door middel van snelle injectie-aanvallen.
De aanval was gebaseerd op kwaadaardige instructies die verborgen waren in GitHub-problemen, pull-verzoeken of opmerkingen die de AI-agent moest beoordelen.
Anthropic heeft het beveiligingslek in mei gepatcht nadat Microsoft het probleem via HackerOne had bekendgemaakt.
Microsoft-onderzoekers hebben een inmiddels gepatchte kwetsbaarheid in Anthropic's Claude Code GitHub Action onthuld, waardoor aanvallers inloggegevens die in softwareontwikkelingspijplijnen zijn opgeslagen, konden vrijgeven door de AI-agent te manipuleren via kwaadaardige GitHub-inhoud.
In een blogpost op vrijdag waarschuwde Microsoft dat AI-codeeragenten die binnen CI/CD-workflows draaien, nieuwe veiligheidsrisico's kunnen creëren omdat die omgevingen vaak toegang hebben tot API-sleutels, cloudreferenties en andere gevoelige informatie.
“We zijn dit onderzoek begonnen na het observeren van snelle injectiepogingen in openbare opslagplaatsen met behulp van AI-ondersteunde GitHub-workflows van meerdere leveranciers, waarbij door de aanvaller gecontroleerde problemen of [pull-verzoeken] inhoud worden verwerkt door de AI-agent en het gebruik van de tool kunnen beïnvloeden”, schreef Microsoft.
Op GitHub kunnen ontwikkelaars met een pull-verzoek wijzigingen in een coderepository voorstellen en deze wijzigingen laten beoordelen voordat ze worden goedgekeurd en samengevoegd.
Het rapport komt op het moment dat snelle injectie-aanvallen naar voren zijn gekomen als een van de grootste veiligheidsbedreigingen waarmee AI-agenten worden geconfronteerd. Bij een prompt injection-aanval verbergt een aanvaller instructies in inhoud zoals e-mails, documenten, websites of codecommentaar, waardoor een AI-systeem die instructies volgt in plaats van die van de gebruiker.
Claude Code, gelanceerd in oktober, is de AI-codeeragent van Anthropic voor softwareontwikkelingstaken. De tool werd in maart onder de loep genomen nadat Anthropic per ongeluk meer dan 500.000 regels van zijn broncode had gelekt, waardoor details van de interne architectuur aan het licht kwamen en er aanleiding was voor wijdverbreide analyses door onderzoekers en ontwikkelaars.
Volgens Microsoft zouden aanvallers snelle injectie-aanvallen kunnen gebruiken die verborgen zijn in GitHub-problemen, pull-requests of commentaren om Claude Code te manipuleren om toegang te krijgen tot bestanden die gevoelige inloggegevens bevatten.
Om de kwetsbaarheid te testen, creëerde Microsoft een GitHub-workflow en vermomde kwaadaardige instructies achter inhoud die werd gehost op een domein dat het beheerde, waardoor de onderzoekers de veiligheidsvoorzieningen van Claude konden omzeilen. Door de snelle injectieaanval werd Claude ertoe aangezet gevoelige inloggegevens te lezen en deze te wijzigen om zowel de beveiliging van Claude als de geheime scantools van GitHub te omzeilen. Microsoft zei dat een aanvaller vervolgens de inloggegevens kan reconstrueren en deze kan exfiltreren via probleemopmerkingen, workflowlogboeken, webverzoeken of shell-opdrachten.
“Om de weigeringsveiligheidsmechanismen van Sonnet te omzeilen, hebben we de granaatlading achter een reactie van ons gecontroleerde domein verdoezeld”, aldus het bedrijf. "We hebben er ook voor gezorgd dat de workflow kan worden geactiveerd door gebruikers zonder 'schrijf'-rechten om ervoor te zorgen dat de scrub-beperkingen voor omgevingsvariabelen van Anthropic actief waren tijdens onze tests."
Anthropic heeft de fout op 5 mei gepatcht met Claude Code versie 2.1.128 nadat Microsoft de kwetsbaarheid op 29 april via HackerOne had bekendgemaakt.
Ondanks meerdere lagen ingebouwde beveiligingscontroles ontdekte Microsoft dat een vastberaden aanvaller een AI-agent potentieel zou kunnen manipuleren om gevoelige informatie vrij te geven.
“We gaan een tijdperk binnen waarin natuurlijke taal uitvoerbare code is, en onbetrouwbare input zoals GitHub-problemen standaard als vijandig moeten worden behandeld”, aldus het rapport. “Een enkele, zorgvuldig vervaardigde opmerking in combinatie met een verkeerd begrepen vertrouwensgrens is alles wat nodig is om met productiereferenties weg te lopen.”
Dagelijkse debriefing NieuwsbriefBegin elke dag met de belangrijkste nieuwsverhalen van dit moment, plus originele artikelen, een podcast, video's en meer. Uw e-mail Download het! Download het!
Microsoft-onderzoekers ontdekten dat de Claude Code GitHub Action van Anthropic kon worden gemanipuleerd door middel van snelle injectie-aanvallen.
De aanval was gebaseerd op kwaadaardige instructies die verborgen waren in GitHub-problemen, pull-verzoeken of opmerkingen die de AI-agent moest beoordelen.
Anthropic heeft het beveiligingslek in mei gepatcht nadat Microsoft het probleem via HackerOne had bekendgemaakt.
Microsoft-onderzoekers hebben een inmiddels gepatchte kwetsbaarheid in Anthropic's Claude Code GitHub Action onthuld, waardoor aanvallers inloggegevens die in softwareontwikkelingspijplijnen zijn opgeslagen, konden vrijgeven door de AI-agent te manipuleren via kwaadaardige GitHub-inhoud.
In een blogpost op vrijdag waarschuwde Microsoft dat AI-codeeragenten die binnen CI/CD-workflows draaien, nieuwe veiligheidsrisico's kunnen creëren omdat die omgevingen vaak toegang hebben tot API-sleutels, cloudreferenties en andere gevoelige informatie.
“We zijn dit onderzoek begonnen na het observeren van snelle injectiepogingen in openbare opslagplaatsen met behulp van AI-ondersteunde GitHub-workflows van meerdere leveranciers, waarbij door de aanvaller gecontroleerde problemen of [pull-verzoeken] inhoud worden verwerkt door de AI-agent en het gebruik van de tool kunnen beïnvloeden”, schreef Microsoft.
Op GitHub kunnen ontwikkelaars met een pull-verzoek wijzigingen in een coderepository voorstellen en deze wijzigingen laten beoordelen voordat ze worden goedgekeurd en samengevoegd.
Het rapport komt op het moment dat snelle injectie-aanvallen naar voren zijn gekomen als een van de grootste veiligheidsbedreigingen waarmee AI-agenten worden geconfronteerd. Bij een prompt injection-aanval verbergt een aanvaller instructies in inhoud zoals e-mails, documenten, websites of codecommentaar, waardoor een AI-systeem die instructies volgt in plaats van die van de gebruiker.
Claude Code, gelanceerd in oktober, is de AI-codeeragent van Anthropic voor softwareontwikkelingstaken. De tool werd in maart onder de loep genomen nadat Anthropic per ongeluk meer dan 500.000 regels van zijn broncode had gelekt, waardoor details van de interne architectuur aan het licht kwamen en er aanleiding was voor wijdverbreide analyses door onderzoekers en ontwikkelaars.
Volgens Microsoft zouden aanvallers snelle injectie-aanvallen kunnen gebruiken die verborgen zijn in GitHub-problemen, pull-requests of commentaren om Claude Code te manipuleren om toegang te krijgen tot bestanden die gevoelige inloggegevens bevatten.
Om de kwetsbaarheid te testen, creëerde Microsoft een GitHub-workflow en vermomde kwaadaardige instructies achter inhoud die werd gehost op een domein dat het beheerde, waardoor de onderzoekers de veiligheidsvoorzieningen van Claude konden omzeilen. Door de snelle injectieaanval werd Claude ertoe aangezet gevoelige inloggegevens te lezen en deze te wijzigen om zowel de beveiliging van Claude als de geheime scantools van GitHub te omzeilen. Microsoft zei dat een aanvaller vervolgens de inloggegevens kan reconstrueren en deze kan exfiltreren via probleemopmerkingen, workflowlogboeken, webverzoeken of shell-opdrachten.
“Om de weigeringsveiligheidsmechanismen van Sonnet te omzeilen, hebben we de granaatlading achter een reactie van ons gecontroleerde domein verdoezeld”, aldus het bedrijf. "We hebben er ook voor gezorgd dat de workflow kan worden geactiveerd door gebruikers zonder 'schrijf'-rechten om ervoor te zorgen dat de scrub-beperkingen voor omgevingsvariabelen van Anthropic actief waren tijdens onze tests."
Anthropic heeft de fout op 5 mei gepatcht met Claude Code versie 2.1.128 nadat Microsoft de kwetsbaarheid op 29 april via HackerOne had bekendgemaakt.
Ondanks meerdere lagen ingebouwde beveiligingscontroles ontdekte Microsoft dat een vastberaden aanvaller een AI-agent potentieel zou kunnen manipuleren om gevoelige informatie vrij te geven.
“We gaan een tijdperk binnen waarin natuurlijke taal uitvoerbare code is, en onbetrouwbare input zoals GitHub-problemen standaard als vijandig moeten worden behandeld”, aldus het rapport. “Een enkele, zorgvuldig vervaardigde opmerking in combinatie met een verkeerd begrepen vertrouwensgrens is alles wat nodig is om met productiereferenties weg te lopen.”
Dagelijkse debriefing NieuwsbriefBegin elke dag met de belangrijkste nieuwsverhalen van dit moment, plus originele artikelen, een podcast, video's en meer. Uw e-mail Download het! Download het!