6月7日，微软安全团队正式披露了一项重要安全发现：Anthropic 旗下的 AI 编程工具 Claude Code，其 GitHub 自动化流程存在安全漏洞。该漏洞可能导致 CI/CD 工作流中的敏感凭证信息泄露，攻击者借助提示词注入（Prompt Injection）攻击，能够悄然窃取这些关键密钥。

这一发现的起因，源于微软威胁情报团队在日常监测中注意到，部分公开代码库出现了针对 AI 辅助型 GitHub 工作流的提示词注入攻击迹象。这一异常情况引起了团队的高度警觉，并随即启动了专项研究。

简而言之，提示词注入是 AI 安全领域中一种常见的漏洞类型。攻击者的手法非常直接——在大型语言模型（LLM）将要处理的内容中，暗中嵌入具有误导性的指令，从而操控模型的行为。LLM 的设计初衷是遵循开发者指令并响应用户提问，而攻击者要做的，正是诱导模型忽略原有指令，转而执行恶意预设。

研究人员用一个具体案例阐述了这一问题：攻击者将恶意指令隐藏在 HTML 注释中。这类注释在 GitHub 页面显示时完全不可见，但当 AI 模型读取原始 Markdown 源码时，却能成功捕捉到这些隐藏指令。受影响的代码库当时恰好依赖 GitHub 自动化流程处理工单。

更值得注意的是，攻击者甚至无需获得项目的修改权限，只需提交一条 GitHub 工单，将恶意指令伪装成常规功能需求，就能诱使 AI 机器人代为执行修改操作。攻击门槛之低令人担忧。

微软进一步确认，这种攻击手段同样适用于 Anthropic 的 Claude Code GitHub 自动化流程。此前，Anthropic 已为部分工具（如允许 Claude 在系统中执行命令的 Bash 工具）设置了沙箱防护措施。然而，问题在于 Claude 用于读取文件的读取工具并未得到同等强度的安全限制。

研究人员为此构建了一个提示词注入攻击载荷进行验证。测试结果表明，该恶意提示词成功突破了两层防护机制，直接诱导 AI 助手读取了存储 API 密钥及其他敏感凭证的系统文件。

微软于4月29日将该漏洞上报给 Anthropic。Anthropic 迅速响应，于5月5日发布了 Claude Code 2.1.128 版本，修复了该漏洞——核心修复措施是限制对 /proc/ 目录下敏感文件的访问，从源头上切断了信息窃取的路径。