6月7日消息，微软研究团队近期发现一个值得关注的安全漏洞——Anthropic旗下的Claude Code在GitHub自动化流程中存在被攻击者利用的风险。攻击者可能利用提示词注入手段，悄悄窃取持续集成/持续部署工作流中的敏感凭证。

事件起因是：微软威胁情报团队在监测公开代码库时，注意到已有攻击者尝试对AI辅助的GitHub工作流实施提示词注入。因此，团队决定展开深入调查。

提示词注入是当前大型语言模型应用中常见的安全漏洞。简单来说，攻击者会在模型处理的内容中嵌入误导性指令，试图让模型偏离原有意图——本应遵守开发者指令、正常响应用户提问，却被诱导执行其他非预期操作。

研究人员给出了一个具体案例：攻击者将注入指令隐藏在HTML注释中。这些注释在GitHub的正常展示界面中完全不可见，但一旦AI模型读取原始Markdown源码，便能识别。涉事代码库当时正利用GitHub自动化流程处理工单。

攻击手法相当巧妙——攻击者无需获取项目的修改权限，只需提交一条GitHub工单，将恶意指令伪装成普通功能需求，就能欺骗AI机器人，使其代为执行修改操作。

微软证实，同样的攻击思路也适用于Anthropic的Claude Code GitHub自动化流程。不过，Anthropic此前已为部分工具设置了沙箱防护，但问题在于，Claude用于读取文件的工具并未受到同等级别的安全限制。

为验证该漏洞，研究人员专门制作了一个提示词注入载荷进行测试。结果不容乐观：恶意提示词成功绕过两层防护，诱导AI助手读取了存放应用程序接口密钥及其他凭证的系统文件。

微软于4月29日将该漏洞上报给Anthropic。对方反应迅速——5月5日便发布了Claude Code 2.1.128版本，通过限制程序对/proc/目录下敏感文件的访问，封堵了这一泄露渠道。