AI 寫程式隱藏資安破口：微軟揭露 Anthropic Claude Code 提示注入風險

AI 代理程式的資安隱憂

微軟研究團隊近期揭露了一項關於 Anthropic 旗下 AI 程式開發代理工具 Claude Code 的資安漏洞。該漏洞允許攻擊者透過「提示注入（Prompt Injection）」攻擊，操控 AI 代理程式存取軟體開發管線中的敏感憑證。由於這類 AI 代理程式常被整合於持續整合與持續部署（CI/CD）流程中，且通常具備存取 API 金鑰、雲端憑證等機密資訊的權限，此類漏洞引發了開發者社群的高度關注。

攻擊手法：隱藏在 GitHub 互動中的惡意指令

微軟指出，這類攻擊的核心在於 AI 代理程式會處理來自 GitHub Issue、Pull Request 或留言中的內容。攻擊者只需在這些公開內容中隱藏惡意指令，便能誘導 AI 執行非預期的操作。微軟在報告中表示：

我們開始這項研究是因為觀察到，多個供應商的 AI 輔助 GitHub 工作流程中，存在針對公開儲存庫的提示注入嘗試。攻擊者控制的 Issue 或 Pull Request 內容會被 AI 代理處理，進而影響其工具的使用。

為了驗證漏洞，微軟建立了一個 GitHub 工作流程，並將惡意指令隱藏在一個受控網域的內容中，成功繞過 Claude 的安全防護機制。測試顯示，攻擊者能誘騙 Claude 讀取敏感憑證，並透過 Issue 留言、工作流程日誌、Web 請求或 Shell 指令將資料外洩。

安全邊界的重新定義

微軟在測試中發現，即便 Claude 具備多層內建安全控制，透過精心設計的惡意留言，仍能突破防線。微軟對此強調：

我們正進入一個自然語言即為可執行程式碼的時代，像 GitHub Issue 這類不受信任的輸入內容，必須預設視為具有敵意。單一條精心設計的留言，結合被誤解的信任邊界，就足以讓攻擊者竊取生產環境的憑證。

針對此項發現，微軟於 4 月 29 日透過漏洞回報平台 HackerOne 進行通報。Anthropic 隨後於 5 月 5 日發布 Claude Code 2.1.128 版本，正式修補此項漏洞。此事件凸顯了在 AI 驅動的開發環境中，如何處理外部輸入內容已成為資安防護的重要課題。