KI-Agenten in der CI/CD-Falle: Wenn ein Issue zur Giftquelle wird
Die Integration von KI-Agenten in CI/CD-Pipelines ist im vollen Gange. Tools wie Anthropics Claude Code GitHub Action versprechen automatisiertes Triage von Issues, Code-Reviews und Label-Vergabe. Doch ein aktueller Vorfall zeigt, dass die Kombination aus weitreichenden Berechtigungen und anfälligen KI-Modellen eine ticking time bomb für die Software-Lieferkette darstellt.
Der Sicherheitsforscher RyotaK von GMO Flatt Security hat eine kritische Schwachstelle in der Claude Code GitHub Action aufgedeckt, die es Angreifern ermöglichte, volle Schreibzugriffe auf öffentliche Repositories zu erlangen – allein durch das Öffnen eines einzigen GitHub Issues. Die Folgen wären verheerend gewesen: Hätte der Angriff das offizielle Action-Repository von Anthropic getroffen, hätte malicious Code in die Pipeline unzähliger Downstream-Projekte eingeschleust werden können.
Der Fehler im Bot-Check
Das Kernproblem lag in der Authentifizierungslogik der Action. Da die Workflow-Standardberechtigungen weitreichend sind (Lese- und Schreibzugriff auf Code, Issues, Pull Requests und Workflow-Dateien), sollte die Action eigentlich nur von Nutzern mit explizitem Schreibzugriff (Write Access) getriggert werden dürfen.
Hier setzte der Bypass an: Die Überprüfungsroutine ließ jeden Akteur passieren, dessen Nutzername auf [bot] endete. Die Annahme dahinter war, dass GitHub Apps vertrauenswürdig sind, da Admins sie installieren. Jeder Angreifer kann jedoch eine eigene GitHub App registrieren, diese in einem eigenen Repo installieren und mit deren Token ein Issue in einem fremden, öffentlichen Repository öffnen. Die Action sah den Bot-Status, hielt den Akteur für vertrauenswürdig und ließ die Payload zu. Während der Tag-Modus einen zusätzlichen Check für menschliche Nutzer durchführte, fehlte dieser im Agent-Modus komplett.
Indirect Prompt Injection als Türöffner
Ist der Trigger einmal umgangen, kommt Indirect Prompt Injection zum Einsatz. RyotaK verfasste ein Issue, dessen Textkörper wie eine Fehlermeldung aussah. Darin versteckte er Anweisungen, die Claude dazu brachten, vermeintliche "Recovery"-Befehle auszuführen. Das Ziel war /proc/self/environ – eine Linux-Datei, die die Umgebungsvariablen des Prozesses inklusive Secrets enthält. Obwohl Claude Code einfache Leseversuche blockiert, umging der Forscher diese Guards und brachte die KI dazu, die Werte zurück in das Issue zu schreiben – eine klassische Daten-Exfiltration.
Der wahre Jackpot in diesen Variablen sind die OIDC-Credentials der GitHub Action. Mit diesem Token kann ein Angreifer bei Anthropics Backend ein Installationstoken mit Schreibzugriff erhandeln. Wer diese Credentials stiehlt und den Austausch repliziert, erhält vollen Schreibzugriff auf den Code, Issues und Workflows des Ziels.
Gefährliche Defaults und Copy-Paste-Fehler
Neben dem Bot-Bypass fand RyotaK noch einen "weicheren" Angriffspfad: Anthropics eigenes Beispiel-Workflow für Issue-Triage wurde mit der Einstellung allowed_non_write_users: "*" ausgeliefert. Das erlaubt jedem das Triggern der Action – eine Einstellung, die Anthropics Dokumentation selbst als riskant einstuft. Da viele Repos dieses Beispiel kopierten, pflanzte sich die Schwachstelle durch reines Copy-Paste fort. Verschlimmert wurde dies durch die Tatsache, dass Claude Task-Zusammenfassungen in das öffentlich sichtbare Summary-Panel der Workflow-Runs postete – ein prädestinierter Ort für Datenlecks.
Eine weitere subtile Variante: Ein Angreifer mit Schreibzugriff auf Issues, aber ohne Trigger-Rechte, bearbeitet das Issue eines vertrauenswürdigen Nutzers, nachdem der Workflow gestartet wurde, aber bevor Claude liest. Die Payload reitet auf dem "vertrauenswürdigen" Input mit.
Keine Theorie: Reale Supply-Chain-Angriffe
Dass diese Angriffsvektoren keine theoretischen Konstrukte sind, beweist ein Vorfall aus dem Februar. Ein Prompt-Injection-Angriff über einen Issue-Titel auf Cline's claude-code-action Workflow ermöglichte es Angreifern, einen npm-Publish-Token zu stehlen und eine unbefugte Version cline@2.3.0 zu pushen. Zwar installierte diese Rogue-Version nur einen harmlosen AI-Agenten und wurde nach acht Stunden gelöscht, aber der Weg für echte Malware war frei.
Auch der autonome Bot "HackerBot-Claw" scannte im späten Februar GitHub Actions bei Microsoft, Datadog und CNCF-Projekten. Zwar weigerte sich Claude bei einem Versuch, eine manipulierte Config-Datei auszuführen, doch das zeigt nur: Die Abwehr hängt oft am Zufall oder den Guardrails des Modells.
Was nun tun?
Anthropic hat den Kern-Bypass innerhalb von vier Tagen behoben und im Frühjahr weitere Härtungen vorgenommen (CVSS v4.0: 7.8). Der Fix ist in claude-code-action v1.0.94 enthalten. RyotaK erhielt eine Bug Bounty.
Nutzer müssen zwingend auf diese Version aktualisieren. Darüber hinaus gilt: Jeder Workflow, der Nicht-Write-Usern oder Bots das Triggern erlaubt, muss auditiert werden. Wenn unvertrauenswürdiger Input verarbeitet wird, dürfen keine Secrets jenseits des Anthropic API-Keys und des GITHUB_TOKEN übergeben werden. Tools und Berechtigungen, die der Exfiltration dienen könnten, müssen entfernt werden.
RyotaK hat mittlerweile rund 50 Methoden gemeldet, um Claude Codes Berechtigungssystem zu umgehen. Prompt Injection bleibt ungelöst. Ein KI-Agent mit echten Tools und Tokens kann so weit ausgenutzt werden, wie seine Berechtigungen es erlauben. Die Lektion ist klar: KI in kritischen Infrastrukturen braucht Zero-Trust-Architekturen, keine Convenience-Backdoors für Bots.
Quelle: The Hacker News
